Yeni bir kimlik avı kampanyası, ABD’li ve Yeni Zelandalı iş arayanları, kurbanların cihazlarına uzaktan erişim için Kobalt Strike işaretleri yükleyen kötü amaçlı belgelerle hedefliyor.
Saldırı modülerleştirilmiş ve çok aşamalıdır; çoğu adım, ana bilgisayarın belleğinden gizlenmiş komut dosyalarının yürütülmesine ve algılamadan kaçınmak için Bitbucket kod barındırma hizmetinin kötüye kullanılmasına dayanır.
Keşif, araştırmacılardan geliyor Cisco Talos’u Hem iş arayanları hedef alan hem de Cobalt Strike’ın yayılmasına yol açan iki farklı kimlik avı tuzağı gözlemledi.
Ancak tehdit aktörleri, Amadey ve RedLine hırsızının kopyalarını bırakma deposunda el altında bulundurur, bu nedenle kötü amaçlı yazılım dağıtımı hedefe bağlı olarak değişebilir.
İş arayanları hedefleme
Her iki saldırı da, alıcıya ABD Personel Yönetimi Ofisi’nden (OPM) gönderildiği varsayılan ABD federal hükümetinde kazançlı bir iş teklifi sunan kötü niyetli bir e-posta ile başlar.
Başka bir durumda, kötü niyetli belge, ülkenin önde gelen federal çalışanlar birliği olan Yeni Zelanda Kamu Hizmeti Derneği’nin (PSA) kimliğine bürünüyor.
Belgeler, yazılım devinin Microsoft Office’te toplu olarak kullanılan bir uzaktan kod yürütme kusuru olan CVE-2017-0199 için bir istismar içeriyor. Nisan 2017’de düzeltildi iken aktif sömürü altında.
Giriş tarihleri için bu hataya güvenmenin en son dikkate değer durumu Haziran 2019İranlı APT grubu ‘MuddyWater’ olarak takip ettiğinde onu cephaneliğine ekledi.
İstismar, belge açıldığında tetiklenir ve bir Bitbucket deposunda barındırılan bir Word belge şablonunun indirilmesine yol açar.
PowerShell aracılığıyla dağıtma
İlk saldırı yöntemi, indirilen DOTM şablonunda bir veri bloğunun kodunun çözülmesinden, bir HTA dosyasına yazılmasından ve ShellExecuted kullanılarak sonraki komut dosyasının yüklenmesinden başlayarak bir dizi Virtual Basic komut dosyası yürütür.
Sonraki komut dosyası, verilerin kodunu ana bilgisayarın belleğine yüklenen ve diske dokunmadan yürütülen bir PowerShell komut dosyasına çözer.
Şifrelenmiş PowerShell, güvenliği ihlal edilmiş makinede bir DLL dosyasını (“newmodeler.dll”) indirmek ve “rundll32.exe” aracılığıyla yandan yüklemek için Bitbucket deposuna bağlanan ikinci bir PowerShell indirici komut dosyası oluşturur.
Talos araştırmacıları tarafından görülen vakalarda, bu DLL, yaygın olarak kötüye kullanılan bir penetrasyon testi ve saldırgan güvenlik paketi olan Cobalt Strike’dır.
İkinci saldırı zinciri, Bitbucket’ten alınan, kurbanın bilgisayarında bir işlem olarak çalışan ve tespit edilme riskini taşıyan bir indirici yürütülebilir dosyasını kullandığından daha az karmaşıktır.
Yürütülebilir dosya, Cobalt Strike DLL dosyasını %UserProfile%\AppData\Local\Temp dizinine indiren ve ardından kendisini silen bir PowerShell komutu başlatır.
Kobalt Vuruşu işareti, tehdit aktörlerinin virüslü cihazda uzaktan komutlar yürütmesine izin vererek, tehdit aktörlerinin güvenliği ihlal edilmiş ağ üzerinden veri çalmasına veya yanlamasına yayılmasına olanak tanır.
C2’ye gelince, işaretçiler (“185″) ile iletişim kurar.[.]225[.]73[.]238”), iki kendinden imzalı ve geçerli SSL sertifikası içeren, Hollanda merkezli, Alibaba tarafından barındırılan bir Ubuntu sunucusu.
Cisco’nun araştırmacıları bu kez herhangi bir ilişkilendirme ayrıntısı vermedi ve saldırılarda kullanılan yöntemler, casusluk gruplarından fidye yazılımı çetelerine kadar çeşitli faillerin taktikleriyle uyuşuyor.
Cobalt Strike’ın kurumsal ağlara ilk erişim sağlamak ve bir ağ içinde yanal olarak yayılmak için en yaygın kullanılan araçlardan biri olmasıyla birlikte, son birkaç yılda işaret dağıtan kimlik avı saldırılarında bir artış gördük.
Geçen yıl, Emotet kimlik avı saldırıları Cobalt Strike’ı düşürmeye başladı ilk kez ve daha yakın zamanda, kimlik avı saldırıları hedef aldı Rus muhalifler ve Ukraynalı kuruluşlar.