Una campaña de ingeniería social que aprovecha los señuelos con temas de trabajo está utilizando como arma una falla de ejecución remota de código de hace años en Microsoft Office para implementar balizas Cobalt Strike en hosts comprometidos.
«La carga útil descubierta es una versión filtrada de una baliza Cobalt Strike», los investigadores de Cisco Talos, Chetan Raghuprasad y Vanja Svajcer. dijo en un nuevo análisis publicado el miércoles.
«La configuración de la baliza contiene comandos para realizar una inyección de proceso dirigida de binarios arbitrarios y tiene un dominio de alta reputación configurado, que exhibe la técnica de redirección para enmascarar el tráfico de la baliza».
La actividad maliciosa, descubierta en agosto de 2022, intenta explotar la vulnerabilidad CVE-2017-0199un problema de ejecución remota de código en Microsoft Office, que permite a un atacante tomar el control de un sistema afectado.
El vector de entrada para el ataque es un correo electrónico de phishing que contiene un archivo adjunto de Microsoft Word que emplea señuelos con temas laborales para puestos en el gobierno de EE. UU. y la Asociación de Servicios Públicos, un sindicato con sede en Nueva Zelanda.
Las balizas Cobalt Strike están lejos de ser las únicas muestras de malware implementadas, ya que Cisco Talos dijo que también ha observado el uso de los ejecutables Redline Stealer y Amadey botnet como cargas útiles en el otro extremo de la cadena de ataque.
Calificando la metodología de ataque como «altamente modularizada», la compañía de ciberseguridad dijo que el ataque también se destaca por su uso de repositorios de Bitbucket para alojar contenido malicioso que sirve como punto de partida para descargar un ejecutable de Windows responsable de implementar la baliza DLL Cobalt Strike.
En una secuencia de ataque alternativa, el repositorio de Bitbucket funciona como un conducto para entregar secuencias de comandos de descarga de VB y PowerShell ofuscadas para instalar la baliza alojada en una cuenta de Bitbucket diferente.
«Esta campaña es un ejemplo típico de un actor de amenazas que usa la técnica de generar y ejecutar scripts maliciosos en la memoria del sistema de la víctima», dijeron los investigadores.
«Las organizaciones deben estar constantemente atentas a las balizas Cobalt Strike e implementar capacidades de defensa en capas para frustrar los intentos del atacante en la etapa anterior de la cadena de infección del ataque».