Злоумышленник атаковал ИБ-специалистов с помощью с Cobalt-Strike » mogilew.by
 

Злоумышленник атаковал ИБ-специалистов с помощью с Cobalt-Strike

Cyble PoC-код Cobalt Strike GitHub уязвимость PowerShell
Киберпреступник использовал поддельный PoC для запуска Cobalt-Strike Beacon
Злоумышленник атаковал ИБ-специалистов с помощью с Cobalt-Strike

Исследователи из компании Cyble обнаружили вредоносную кампанию на ИБ-сообщество. В своем сообщении
специалист поделился поддельным кодом Proof of Concept (PoC) для уязвимости удаленного выполнения кода RPC Runtime Library Remote Code Execution CVE-2022-26809 с оценкой CVSS 9.8. Вредонос, замаскированный под поддельный PoC-код, был доступен на GitHub.


«В ходе дальнейшего расследования мы обнаружили, что это вредоносное ПО, замаскированное под эксплойт. Также мы обнаружили вредонос, который является поддельной PoC CVE-2022-24500 . Оба вредоносных образца были доступны на GitHub. Интересно, что оба репозитория принадлежат одному и тому же профилю, что указывает на возможность злоумышленника проводить кибератаку на ИБ-сообщество», - сообщила Cyble.

Согласно анализу вредоносного ПО, эксплойт представляет из себя двоичный файл .Net, упакованный бесплатным open-source средством защиты для .NET-приложений ConfuserEX . Вредоносный код не включает в себя эксплойты для уязвимостей в фейковом PoC, а только выводит поддельное сообщение о попытке использовать уязвимости и запускает шелл-код. Вредоносная программа выполняет команду PowerShell с помощью cmd.exe для доставки фактической полезной нагрузки Cobalt-Strike Beacon. Затем злоумышленник может использовать Cobalt-Strike Beacon для дополнительных полезных нагрузок и выполнения боковых перемещений.
«Обычно ИБ-специалисты используют эксплойты для проверки уязвимостей. Следовательно, данное вредоносное ПО нацелено только на людей из ИБ-сообщества. Поэтому для членов сообщества кибербезопасности следует проверять достоверность источников перед загрузкой PoC» - заключила Cyble.

SECURITYLAB.RU
рейтинг: 
  • Не нравится
  • +22
  • Нравится
ПОДЕЛИТЬСЯ:

ОСТАВИТЬ КОММЕНТАРИЙ
иконка
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Новости