I ricercatori hanno scoperto che le vulnerabilità Log4j vengono ora utilizzate per distribuire i beacon Cobalt Strike tramite lo strumento da riga di comando di Windows Defender.
I ricercatori di sicurezza informatica dei Sentinel Labs hanno recentemente rilevato un nuovo metodo, utilizzato da un attore di minacce sconosciuto, il cui obiettivo finale è l’implementazione del ransomware LockBit 3.0.
Funziona in questo modo: l'autore della minaccia utilizzerebbe log4shell (come viene chiamato Log4j zero-day) per accedere a un endpoint di destinazione e ottenere i privilegi utente necessari. Una volta terminato, utilizzerebbero PowerShell per scaricare tre file separati: un file di utilità CL di Windows (pulito), un file DLL (mpclient.dll) e un file LOG (l'effettivo beacon Cobalt Strike).
Attacco al cobalto con caricamento laterale
Quindi eseguirebbero MpCmdRun.exe, un'utilità della riga di comando che esegue varie attività per Microsoft Defender. Questo programma solitamente carica un file DLL legittimo: mpclient.dll, di cui ha bisogno per funzionare correttamente. Ma in questo caso, il programma caricherebbe una DLL dannosa con lo stesso nome, scaricata insieme al programma.
Questa DLL caricherà il file LOG e decodificherà un payload crittografato di Cobalt Strike.
Questo è un metodo noto come caricamento laterale.
In genere, questa filiale di LockBit utilizzava gli strumenti da riga di comando di VMware per trasferire i tag Cobalt Strike, afferma BleepingComputer, quindi il passaggio a Windows Defender è alquanto insolito. Il post presuppone che la modifica sia stata apportata per aggirare le protezioni specifiche recentemente introdotte da VMware. Tuttavia, l'uso di strumenti che vivono in superficie per eludere il rilevamento da parte dei servizi di protezione antivirus (si apre in una nuova scheda) o dei malware (si apre in una nuova scheda) è "estremamente comune" di questi tempi, conclude il post, invitando le aziende a controllare i propri controlli di sicurezza e prestare attenzione nel monitorare il modo in cui vengono utilizzati (abusati) gli eseguibili legittimi.
Sebbene Cobalt Strike sia uno strumento legittimo, utilizzato per i test di penetrazione, è diventato piuttosto famigerato in quanto viene abusato da autori di minacce in tutto il mondo. Viene fornito con un lungo elenco di funzionalità che i criminali informatici possono utilizzare per mappare la rete di destinazione, senza essere rilevati, e spostarsi lateralmente tra gli endpoint mentre si preparano a rubare dati e distribuire ransomware.
Via: BleepingComputer (si apre in una nuova scheda)