Một chiến dịch kỹ thuật xã hội tận dụng các mồi nhử theo chủ đề công việc đang vũ khí hóa lỗ hổng thực thi mã từ xa đã tồn tại nhiều năm trong Microsoft Office để triển khai cảnh báo Cobalt Strike trên các máy chủ bị xâm nhập.
“Tải trọng được phát hiện là phiên bản bị rò rỉ của đèn hiệu Cobalt Strike,” Chetan Raghuprasad và Vanja Svajcer, các nhà nghiên cứu của Cisco Talos, cho biết trong một phân tích mới được công bố hôm thứ Tư.
“Cấu hình đèn hiệu chứa các lệnh để thực hiện quy trình nhắm mục tiêu đưa vào các tệp nhị phân tùy ý và có miền có uy tín cao được định cấu hình, thể hiện kỹ thuật chuyển hướng để giả mạo lưu lượng của đèn hiệu.”
Hoạt động độc hại, được phát hiện vào tháng 8 năm 2022, cố gắng khai thác lỗ hổng CVE-2017-0199, một sự cố thực thi mã từ xa trong Microsoft Office, cho phép kẻ tấn công kiểm soát hệ thống bị ảnh hưởng.
Vectơ đầu vào cho cuộc tấn công là một email lừa đảo có chứa tệp đính kèm Microsoft Word sử dụng các chiêu dụ theo chủ đề công việc cho các vai trò trong chính phủ Hoa Kỳ và Hiệp hội Dịch vụ Công cộng, một tổ chức công đoàn có trụ sở tại New Zealand.
Các đèn hiệu Cobalt Strike không phải là mẫu phần mềm độc hại duy nhất được triển khai, vì Cisco Talos cho biết họ cũng đã quan sát thấy việc sử dụng các tệp thực thi mạng botnet Redline Stealer và Amadey dưới dạng tải trọng ở đầu kia của chuỗi tấn công.
Gọi phương pháp tấn công là “mô-đun hóa cao”, công ty an ninh mạng cho biết hoạt động này cũng nổi bật với việc sử dụng kho lưu trữ Bitbucket để lưu trữ nội dung độc hại đóng vai trò là điểm khởi đầu để tải xuống tệp thực thi Windows chịu trách nhiệm triển khai đèn hiệu Cobalt Strike DLL.
Trở thành Chuyên gia ứng phó sự cố!
Mở khóa các bí mật để ứng phó với sự cố chống đạn – Nắm vững quy trình 6 Giai đoạn với Asaf Perlman, Trưởng nhóm IR của Cynet!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Trong một chuỗi tấn công thay thế, kho lưu trữ Bitbucket hoạt động như một đường dẫn để cung cấp các tập lệnh tải xuống VB và PowerShell bị xáo trộn để cài đặt đèn hiệu được lưu trữ trên một tài khoản Bitbucket khác.
Các nhà nghiên cứu cho biết: “Chiến dịch này là một ví dụ điển hình về việc kẻ đe dọa sử dụng kỹ thuật tạo và thực thi các tập lệnh độc hại trong bộ nhớ hệ thống của nạn nhân”.
“Các tổ chức nên thường xuyên cảnh giác với các đèn hiệu Cobalt Strike và triển khai các khả năng phòng thủ theo lớp để ngăn chặn những nỗ lực của kẻ tấn công trong giai đoạn đầu của chuỗi lây nhiễm của cuộc tấn công.”
