RCE Cisco Talos Microsoft Office Cobalt Strike Redline Stealer Amadey Bitbucket
Целями злоумышленников стали соискатели работы.
Специалисты
В компании Cisco есть подразделение Talos, которое занимается исследованиями в области угроз информационной безопасности"
data-html="true" data-original-title="Cisco Talos"
>Cisco Talos обнаружили новую вредоносную кампанию, направленную на соискателей работы. Злоумышленники используют продвинутые методы социальной инженерии, а также старую RCE-уязвимость в Microsoft Office (CVE-2017-0199), позволяющую установить маячки
Cobalt Strike представляет собой фреймворк для проведения тестов на проникновение, позволяющий доставить на компьютер жертвы полезную нагрузку и управлять ею. Злоумышленники могут использовать Cobalt Strike для развертывания атак с расширенными постоянными угрозами (APT) против вашей организации.
"
data-html="true" data-original-title="Cobalt Strike"
>Cobalt Strike на взломанных узлах. Маячки содержат команды, необходимые для внедрения произвольных бинарных файлов в процесс и связаны с доменом, маскирующий трафик Cobalt Strike с помощью перенаправления.
Атака начинается с фишингового электронного письма, которое содержит Word-документ, в котором обычно предлагается работа в правительстве США или в новозеландской Ассоциации государственной службы.
Специалисты сообщили, что в ходе вредоносной кампании злоумышленники используют не только Cobalt Strike, но и Redline Stealer c Amadey.
Пока исследователям известно про два варианта атаки:
Вредоносные файлы размещаются в репозитории Bitbucket, который становится отправной точкой для загрузки .exe-файла, запускающего маячок Cobalt Strike;
Репозиторий Bitbucket становятся каналом доставки обфусцированных PowerShell/VB-скриптов дроппера, необходимых для запуска маяка на другом аккаунте Bitbucket.
Эксперты рекомендуют ИБ-специалистам быть бдительными и внедрять многоуровневые системы защиты, чтобы пресекать любые попытки проникновения в корпоративные сети.
SECURITYLAB.RU
