Sahte PoC, InfoSec Topluluğunu Hedef Alan Cobalt Strike Kötü Amaçlı Yazılım Kampanyasını Bırakmak için Kullanıldı

Güvenlik araştırmacıları, sahte bir Windows PoC istismarı kullanan bir rakip tarafından Cobalt Strike arka kapısını hedef aldı ve enfekte etti.

Burada tehdit aktörü, yakın zamanda yamalanan iki Windows uzaktan kod yürütme güvenlik kusurundan yararlandı ve işte buradalar:

• CVE-2022-24500
• CVE-2022-26809

Güvenlik araştırmacıları genellikle kavram kanıtı açıklarını kendi savunma sistemlerini test etmenin bir yöntemi olarak kullanır ve yöneticileri güvenlik güncellemelerini hemen uygulamaya zorlar.

Buna rağmen, saldırganlar bu istismarları sıklıkla saldırılar gerçekleştirmek ve bazen bir ağdan diğerine yayılmak için kullanırlar.

Teknik Detaylar

Bu kötü amaçlı yazılım, ConfuserEX olarak bilinen bir .NET uygulama koruma programı ile entegre edilmiş bir .Net ikili dosyası biçiminde gelir.

Kötü amaçlı yazılımda yukarıda belirtilen güvenlik açıklarını hedefleyen bir yararlanma kodu bulunmamaktadır. Bunun yerine yürütülebilir bir kabuk kodu yürütülür, ancak bir istismarın denendiğini gösteren sahte bir mesaj yazdırılır.

Kötü amaçlı yazılımın daha güvenilir görünmesini sağlamak için, kötü amaçlı yazılımdaki Sleep() işlevi iletileri küçük bir aralıktan sonra yazdırır ve ardından iletiler yeniden yazdırılır.

Kötü amaçlı yazılım, gerçek yükü teslim etmek için önce sahte iletiyi yazdırır ve ardından gizli komutu gizlenmiş iletinin bir parçası olarak teslim etmek için "cmd.exe" komutunu kullanarak PowerShell komutunu yürütür.

Cobalt-Strike Beacon içeriğini indirmek için ağ, İnternet üzerinden bir komuta ve kontrol sunucusuyla iletişim kurar.

Yanal harekete ek olarak, Cobalt-Strike Beacon ayrıca ek yükleri indirmek ve diğer kötü amaçlı faaliyetleri gerçekleştirmek için de kullanılabilir.

Infosec topluluğunun da aktif saldırıların hedefi olduğunu ve bu nedenle dikkate alınması gerektiğini gösteren bazı kanıtlar vardır.

Öneriler

Tehdit aktörleri tarafından çeşitli yöntemler kullanılarak çeşitli saldırılar gerçekleştirilmektedir. Bu nedenle siber güvenlik uzmanları birkaç azaltmayı şiddetle tavsiye ettiler ve burada aşağıda belirtilmiştir:

• Bilmediğiniz bir web sitesinden dosya indirmeyin.
• Ağ bağlantısı olan bir PC, dizüstü bilgisayar veya mobil cihazınız varsa, iyi bir virüsten koruma ve internet güvenliği paketi kullandığınızdan emin olun.
• E-postaya eklenmiş bir e-postanın veya bağlantının orijinalliğinden emin değilseniz, önce orijinal olduğunu doğrulamadan açmayın.
• Çalışanlar, kendilerini bu kimlik avı dolandırıcılığı / güvenilmeyen URL'ler tehdidine karşı nasıl koruyabilecekleri konusunda eğitilmelidir.
• İşaretçinin ağ düzeyinde izlendiğinden emin olun. Bu, verilerin kötü amaçlı yazılım veya Truva atı tarafından sızdırılmasını durdurmanızı sağlar.
• Veri Kaybını Önleme (DLP) Çözümünün çalışanın sistemlerine uygulandığından emin olun.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.