GitHub’da yayınlanan kavram kanıtı (PoC) istismarlarını analiz eden siber güvenlik araştırmacıları, kısa süre önce kendilerini Kobalt Strike destekli bir siber saldırının alıcı tarafında buldular.
Araştırmacıların, GitHub gibi kod depolarında yakın zamanda yamalanmış kusurlardan oluşan bir PoC yayınlaması yaygın bir uygulamadır. Bu şekilde kendi aralarında farklı çözümleri test edebilir ve yöneticileri en kısa sürede düzeltmeleri uygulamaya zorlayabilirler.
Microsoft, CVE-2022-24500 ve CVE-2022-26809 olarak izlenen iki uzaktan kod yürütme güvenlik açığını yamaladığında, GitHub’da biri “rkxxz” adlı bir hesaptan gelen birkaç PoC ortaya çıktı.
kobalt grevi
Ancak, PoC’nin sahte olduğu ortaya çıktı ve bunun yerine araştırmacıların uç noktalarına Kobalt Strike işaretçileri kurdu. Cyble’ın araştırmacıları anlattı BleeBilgisayar Sahte PoC’nin aslında bir PowerShell betiği başlatan bir .NET uygulaması olduğunu ve bu da gzip ile sıkıştırılmış bir PowerShell betiğinin kötü amaçlı paylaşımını yürütür ve bu da işaretçiyi cihaz belleğine enjekte eder.
Cobalt Strike’ın kendisi kötü amaçlı yazılım değil, penetrasyon testi için kullanılan meşru bir araçtır. Yine de, siber suçluların favori silahlarından biridir ve hedef ağ boyunca gizli yanal hareket için idealdir.
Bu arada, sahte PoC kaldırıldı ve onu dağıtan hesap yasaklandı.
Siber savaş dünyasında, arada sırada avcı oyun haline gelir. Bu yılın Ocak ayının sonlarında, Google’ın Tehdit Analizi Grubu (TAG) için çalışan kişiler, Kuzey Kore’den gelen ve diğer güvenlik araştırmacılarını hedef alan bir siber saldırı kampanyası keşfetti. Saldırı, araştırmacılarla etkileşim kurmak için blog gönderileri, sahte sosyal medya profilleri ve e-posta hesapları kullanılarak geniş kapsamlıydı.
İki ay sonra, Mart ayında, aynı grup Kuzey Kore dışında aynı amaçla başka bir kampanya keşfetti. Bu sefer saldırganlar, SecuriElite adlı sahte bir siber güvenlik firması kurdular ve bu şirket aracılığıyla diğer araştırmacıları işbirlikleri için davet ettiler. Ancak, gerçekte işbirliği yapmak yerine grup, araştırmacıların uç noktalarına bulaşmaya çalıştı. (yeni sekmede açılır) kötü amaçlı yazılım ile.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)
