Las vulnerabilidades de Log4j ahora se están utilizando para implementar balizas Cobalt Strike a través de la herramienta de línea de comandos de Windows Defender, según descubrieron los investigadores.
Los investigadores de seguridad cibernética de Sentinel Labs detectaron recientemente un nuevo método, empleado por un actor de amenazas desconocido, cuyo objetivo final es la implementación del ransomware LockBit 3.0.
Funciona así: el actor de amenazas usaría log4shell (como se denomina Log4j de día cero) para acceder a un punto final de destino y obtener los privilegios de usuario necesarios. Una vez hecho esto, usarían PowerShell para descargar tres archivos separados: un archivo de utilidad CL de Windows (limpio), un archivo DLL (mpclient.dll) y un archivo LOG (la baliza Cobalt Strike real).
Golpe de cobalto de carga lateral
Luego ejecutarían MpCmdRun.exe, una utilidad de línea de comandos que realiza varias tareas para Microsoft Defender. Este programa generalmente carga un archivo DLL legítimo: mpclient.dll, que necesita para ejecutarse correctamente. Pero en este caso, el programa cargaría una DLL maliciosa del mismo nombre, descargada junto con el programa.
Esta DLL cargará el archivo LOG y descifrará una carga útil cifrada de Cobalt Strike.
Este es un método conocido como carga lateral.
Por lo general, esta subsidiaria de LockBit usaba las herramientas de línea de comandos de VMware para transferir etiquetas de Cobalt Strike, dice BleepingComputer, por lo que el cambio a Windows Defender es algo inusual. La publicación asume que el cambio se realizó para eludir las protecciones específicas que VMware introdujo recientemente. Sin embargo, el uso de herramientas que viven fuera del suelo para evadir la detección de servicios de protección de virus (se abre en una nueva pestaña) o malware (se abre en una nueva pestaña) es "extremadamente común" en nuestros días, concluye la publicación, instando a las empresas a verificar sus controles de seguridad y esté atento al seguimiento de cómo se utilizan (abusan) los ejecutables legítimos.
Aunque Cobalt Strike es una herramienta legítima, utilizada para pruebas de penetración, se ha vuelto bastante infame ya que los actores de amenazas de todo el mundo abusan de ella. Viene con una larga lista de características que los ciberdelincuentes pueden usar para mapear la red de destino, sin ser detectados, y moverse lateralmente entre puntos finales mientras se preparan para robar datos e implementar ransomware.
Через: BleepingComputer (открывается в новой вкладке)