Cisco Talos’taki araştırmacılar, güvenliği ihlal edilmiş ana bilgisayarlara Cobalt Strike işaretlerini dağıtan kötü niyetli bir kampanya ortaya çıkardı. Saldırı, dosyasız, kötü niyetli komut dosyaları içeren çok aşamalı ve modüler bir enfeksiyon zincirini içerir.
Bu saldırı, Microsoft Office’te bir uzaktan kod yürütme sorunu olan (CVE-2017-0199) olarak izlenen güvenlik açığından yararlanan kötü amaçlı bir Microsoft Word belge eki içeren bir e-postadır.
“Bir kurban maldoc’u açarsa, saldırgan tarafından kontrol edilen bir Bitbucket deposunda barındırılan kötü amaçlı bir Word belge şablonunu indirir”, Cisco
Cisco Talos, her ikisi de Cobalt Strike’ı yükleyen kötü amaçlı belgelerle iş arayanları hedef alan iki farklı saldırı tekniğini analiz etti.
Başlangıçta, e-posta, alıcıyı ekli Word belgesini gözden geçirmeye ve kişisel bilgilerinin bir kısmını vermeye cezbetmek için temalıdır.
Araştırmacılar, kötü niyetli belgelerin ABD federal hükümeti için insan kaynakları dairesi ve personel politikası yöneticisi olarak hizmet veren ABD Personel Yönetimi Ofisi’nin (OPM) bir beyan formunun içeriğine benzediğini açıklıyor.
İkinci durumda, kötü niyetli belge, geliştirme delegasyonu, PSA plus, tanınmış bir Yeni Zelanda sendikası ve Yeni Zelanda’da bulunan Kamu Hizmeti Derneği ofisinde Ulusal Sekreterler için idari destek ile ilgili roller için reklam tekliflerine sahiptir.
Saldırganın Kullandığı Saldırı Metodolojileri
İlk saldırıda, indirilen DOTM şablonu, gömülü bir kötü amaçlı Visual Basic komut dosyasını yürütür, gizlenmiş VB, PowerShell komut dosyalarının yürütülmesine ve kötü niyetli VB’nin kötü amaçlı PowerShell komutlarını yürüten bir Windows yürütülebilir dosyasını indirmesine ve çalıştırmasına yol açar.
Araştırmacılar, “yükün bir Kobalt Strike işaretçisinin sızdırılmış bir versiyonu olduğunu söylüyor. İşaret yapılandırması, isteğe bağlı ikili dosyaların hedeflenen işlem enjeksiyonunu gerçekleştirmek için komutlar içerir ve yapılandırılmış yüksek itibar alanına sahiptir ve işaretin trafiğini maskelemek için yeniden yönlendirme tekniğini sergiler”.
Talos araştırmacıları ayrıca ‘Redline bilgi hırsızı’ ve ‘Amadey botnet yürütülebilir dosyalarının’ yük olarak kullanıldığını fark ettiler.
İkinci yöntemde, saldırı modülerdir ancak daha az karmaşık Visual Basic ve PowerShell komut dosyaları kullanır. Burada saldırgan, Cobalt Strike yükünü indirmek ve çalıştırmaktan sorumlu PowerShell komutlarını yürüten 64 bit Windows yürütülebilir bir indiricisi kullandı.
Bu nedenle, savunucular, onları dosyasız tehditlere karşı etkili bir şekilde korumak için organizasyonun savunmasında davranışsal koruma yetenekleri kullanmalıdır. Kuruluşlar, Kobalt Saldırısı işaretleri konusunda dikkatli olmalı ve katmanlı savunma yetenekleri uygulamalıdır.
Sıfır Güven Ağı ile Siber Saldırı – Ücretsiz E-Kitap İndirin