Siber suçlular, Kobalt Strike işaretlerini ve aynı zamanda diğer virüsleri ve kötü amaçlı yazılımları dağıtmak için Amerika Birleşik Devletleri ve Yeni Zelanda’daki iş arayanları avlıyor. (yeni sekmede açılır)ilave olarak.
Cisco Talos’tan araştırmacılar, kimliği varsayarak bilinmeyen bir tehdit aktörünün e-posta yoluyla birden fazla kimlik avı cazibesi gönderdiğini iddia ediyor. (yeni sekmede açılır) ABD Personel Yönetimi Ofisi’nin (OPM) yanı sıra Yeni Zelanda Kamu Hizmeti Derneği’nin (PSA)
E-posta, kurbanı, iş fırsatı hakkında daha fazla ayrıntı içerdiğini iddia ederek, ekli bir Word belgesini indirip çalıştırmaya davet ediyor.
Uzaktan kod yürütme
Belge, çalıştırılırsa, Nisan 2017’de düzeltilen bir uzaktan kod yürütme kusuru olan CVE-2017-0199 olarak izlenen bilinen bir güvenlik açığından yararlanan makrolarla bağlanmıştır. Makronun çalıştırılması, Word’ün bir Bitbucket deposundan bir belge şablonu indirmesiyle sonuçlanır. Şablon daha sonra bir dizi Visual Basic komut dosyası yürütür ve bu da sonuç olarak “newmodeler.dll” adlı bir DLL dosyasını indirir. Bu DLL aslında bir Kobalt Saldırısı işaretidir.
Kötü amaçlı yazılım indiricisinin doğrudan Bitbucket’ten getirildiği daha az karmaşık başka bir dağıtım yöntemi de vardır.
Bir Kobalt Saldırısı işaretçisinin yardımıyla, tehdit aktörleri, güvenliği ihlal edilen uç noktada çeşitli komutları uzaktan yürütebilir, verileri çalabilir ve ağ boyunca yanal olarak hareket ederek, haritayı çıkarabilir ve daha hassas verileri bulabilir.
Araştırmacılar, işaretçilerin Alibaba tarafından barındırılan ve Hollanda merkezli bir Ubuntu sunucusuyla iletişim kurduğunu iddia ediyor. Kendinden imzalı ve geçerli iki SSL sertifikası içerir.
Cisco, bu kampanyanın arkasındaki tehdit aktörlerinin isimlerini vermedi, ancak son zamanlarda sayısız sahte iş kampanyasına katılan önemli bir isim var ve o da Lazarus Group.
Kötü şöhretli Kuzey Kore devlet destekli tehdit aktörü, blok zinciri geliştiricilerini, takas edilemez tokenler (NFT) üzerinde çalışan sanatçıları, ayrıca havacılık uzmanlarını ve sahte işlere sahip siyasi gazetecileri, kripto para birimlerini ve değerli bilgileri çalmayı hedefliyor.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)
