Bu haftanın başlarında, güvenlik firması Cisco Talos’taki araştırmacılar, Ağustos 2022’de, Kobalt Saldırısı işaretleri sağlamak için modülerleştirilmiş saldırı tekniklerine dayanan ve bunları takip eden saldırılarda kullanan kötü niyetli bir kampanya keşfettiler.
Şirketin Çarşamba günü kampanyayla ilgili yeni bir tavsiye yayınladığı ve bunun arkasındaki tehdit aktörlerinin, ilk saldırı vektörleri olarak kötü niyetli bir ek ile ABD’deki bir hükümet kuruluşunu veya Yeni Zelanda’daki bir sendikayı taklit eden bir kimlik avı e-postası kullandığını bildirdiği bildirildi.
Kötü amaçlı Microsoft Word belge eki daha sonra Microsoft Office’te bir uzaktan kod yürütme (RCE) güvenlik açığından (izlenen CVE–2017–0199) yararlanmaya çalışır.
Cisco Talos, “Bir kurban maldoc’u açarsa, saldırgan tarafından kontrol edilen bir Bitbucket deposunda barındırılan kötü amaçlı bir Word belgesi şablonunu indirir” diye yazdı.
İlk enfeksiyonun ardından güvenlik şirketi, bu kampanyada tehdit aktörü tarafından kullanılan iki saldırı metodolojisi keşfettiğini söyledi.
İlk yöntem, indirilen DOTM şablonunun, diğer gizlenmiş VB ve PowerShell komut dosyalarının oluşturulmasına ve yürütülmesine yol açan gömülü bir kötü amaçlı Visual Basic (VB) komut dosyası yürüttüğünü gördü.
İkincisi ise, kötü niyetli VB’nin yükü indirmek ve yerleştirmek için kötü niyetli PowerShell komutlarını yürüten bir Windows yürütülebilir dosyasını indirip çalıştırmasını içeriyordu.
Talos tavsiyesinde, “Keşfedilen yük, bir Kobalt Strike işaretçisinin sızdırılmış bir versiyonudur” diyor.
“İşaret yapılandırması, isteğe bağlı ikili dosyaların hedeflenen işlem enjeksiyonunu gerçekleştirmek için komutlar içerir ve yapılandırılmış yüksek itibar alanına sahiptir ve işaretin trafiğini maskelemek için yeniden yönlendirme tekniğini sergiler.”
Bu kampanyada keşfedilen ana yük bir Kobalt Strike işaretçisi olduğundan, Talos ayrıca tehdit aktörlerinin Redline bilgi hırsızını ve Amadey botnet yürütülebilir dosyalarını yük olarak kullandığını söyledi.
Talos, “Bu kampanya, kurbanın sistem belleğinde kötü amaçlı komut dosyaları oluşturma ve yürütme tekniğini kullanan bir tehdit aktörünün tipik bir örneğidir” diye yazdı.
“Savunucular, onları dosyasız tehditlere karşı etkili bir şekilde korumak için kuruluşun savunmasında davranışsal koruma yeteneklerini uygulamalıdır.”
Ayrıca Talos, kuruluşları Kobalt Saldırısı işaretlerine karşı uyanık olmaları ve tehdit aktörünün saldırının bulaşma zincirinin ilk aşamasındaki girişimlerini engellemek için tasarlanmış katmanlı savunmalar uygulamaları konusunda uyardı.
Öneri, Group-IB’nin APT41 olarak bilinen Çinli gelişmiş kalıcı tehdit (APT) aktörünün dünya çapında en az 13 kuruluşu hedef almak için Kobalt Strike kullandığını açıklamasından haftalar sonra geldi.