İş temalı cazibelerden yararlanan bir sosyal mühendislik kampanyası, güvenliği ihlal edilmiş ana bilgisayarlarda Kobalt Strike işaretlerini dağıtmak için Microsoft Office’teki bir yıllık uzaktan kod yürütme kusurunu silahlandırıyor.
Cisco Talos araştırmacıları Chetan Raghuprasad ve Vanja Svajcer, “Keşfedilen yük, bir Kobalt Strike işaretçisinin sızdırılmış bir versiyonudur.” söz konusu Çarşamba günü yayınlanan yeni bir analizde.
“İşaret yapılandırması, isteğe bağlı ikili dosyaların hedeflenen işlem enjeksiyonunu gerçekleştirmek için komutlar içerir ve yapılandırılmış yüksek itibar alanına sahiptir ve işaretin trafiğini maskelemek için yeniden yönlendirme tekniğini sergiler.”
Ağustos 2022’de keşfedilen kötü amaçlı etkinlik, güvenlik açığından yararlanmaya çalışıyor CVE-2017-0199bir saldırganın etkilenen bir sistemin denetimini ele geçirmesine olanak tanıyan, Microsoft Office’te bir uzaktan kod yürütme sorunu.
Saldırının giriş vektörü, ABD hükümeti ve Yeni Zelanda merkezli bir sendika olan Kamu Hizmeti Derneği’ndeki roller için iş temalı yemler kullanan bir Microsoft Word eki içeren bir kimlik avı e-postasıdır.
Cisco Talos, saldırı zincirinin diğer ucunda yük olarak Redline Stealer ve Amadey botnet yürütülebilir dosyalarının kullanımını gözlemlediğini söylediği için Cobalt Strike beacon’lar, dağıtılan tek kötü amaçlı yazılım örneklerinden çok uzak.
Saldırı metodolojisini “oldukça modülerleştirilmiş” olarak nitelendiren siber güvenlik şirketi, saldırının ayrıca, Cobalt Strike DLL işaretini dağıtmaktan sorumlu bir Windows yürütülebilir dosyasını indirmek için bir başlangıç noktası görevi gören kötü amaçlı içeriği barındırmak için Bitbucket depolarını kullanmasının da öne çıktığını söyledi.
Alternatif bir saldırı dizisinde, Bitbucket deposu, farklı bir Bitbucket hesabında barındırılan işaretçiyi yüklemek için karmaşık VB ve PowerShell indirici komut dosyaları sağlamak için bir kanal işlevi görür.
Araştırmacılar, “Bu kampanya, kurbanın sistem belleğinde kötü amaçlı komut dosyaları oluşturma ve yürütme tekniğini kullanan bir tehdit aktörünün tipik bir örneğidir” dedi.
“Kuruluşlar, Kobalt Saldırısı işaretleri konusunda sürekli tetikte olmalı ve saldırganın saldırının bulaşma zincirinin ilk aşamasındaki girişimlerini engellemek için katmanlı savunma yetenekleri uygulamalıdır.”
