Erkennung von gefälschten Proof of Concept (POC): Cyberangriffe, die die InfoSec-Community ins Visier nehmen und die Windows-Schwachstelle CVE-2022-26809 ausnutzen, um Cobalt Strike Beacon zu liefern

Forscher warnen die globale InfoSec-Gemeinschaft vor einer neuen Malware-Kampagne, die darauf abzielt, die berüchtigte Cobalt Strike Beacon Malware über gefälschte Proof of Concept (POC)-Exploits der kürzlich gepatchten Windows-Schwachstellen zu verbreiten, einschließlich der kritischen RCE-Schwachstelle, die als CVE-2022-26809 bekannt ist. Die öffentliche Verfügbarkeit gefälschter Exploits auf GitHub erhöht das Risiko erheblich und setzt Millionen von Nutzern der führenden Open-Source-Entwicklungsplattform schweren Risiken aus. 

Erkennen Sie gefälschte POC-Exploits, die Cobalt Strike Beacon Malware verbreiten  

Um geschützt zu bleiben, verfolgen InfoSec-Fachleute kontinuierlich neue Sicherheitspatches für kritische CVEs und verlassen sich häufig auf POC-Exploits, die auf vertrauenswürdigen Plattformen wie GitHub verfügbar sind. Daher benötigen solche Fälle von gefälschtem Exploit-Code aus der Perspektive der Cyberabwehr besondere Aufmerksamkeit. SOC Primes Detection as Code-Plattform kuratiert die Interessen ihrer globalen Cybersecurity-Community und bietet Teams Detektionsinhalte für kritische Bedrohungen, selbst für die schwierigsten Anwendungsfälle. Um die Cobalt Strike Beacon Malware-Varianten zu identifizieren, die in dieser jüngsten Angreiferkampagne, welche einen gefälschten POC des CVE-2022-26809-Fehlers verwendet, ausgeliefert werden, erkunden Sie eine dedizierte Sigma-Regel, die von unserem erfahrenen Threat Bounty-Entwickler Osman Demir:

Verdächtiger gefälschter CVE-2022-26809 Proof of Concept, der Cobalt Strike durch Detektion des zugehörigen User Agent liefert [zielend auf die InfoSec-Gemeinschaft] (über Proxy)

Diese kuratierte Jagdanfrage ist mit 18 führenden SIEM-, EDR- und XDR-Lösungen kompatibel und mit dem MITRE ATT&CK®-Framework abgestimmt, das die Technik Application Layer Protocol (T1071) aus dem Repertoire der Command and Control-Taktik adressiert. Sicherheitsfachleute können auch sofort Jagden in ihrer Umgebung mit dieser Abfrage über SOC Primes Quick Hunt-Modul. 

ausführen. Um auf den gesamten Detektions-Stack bezogen auf die CVE-2022-26809-Schwachstelle zuzugreifen und entsprechend zu kennzeichnen, klicken Sie auf den Detektionen anzeigen Button unten. Bitte stellen Sie sicher, dass Sie sich in SOC Primes Detection as Code-Plattform einloggen oder sich für das erste Erlebnis anmelden, um die umfassende Sammlung von Detektionsalgorithmen zu erreichen. Fortschrittliche Threat Hunters und Detection Engineers, die nach neuen Wegen suchen, ihre beruflichen Fähigkeiten zu verbessern, während sie zur gemeinsamen Expertise beitragen, sind eingeladen, dem Threat Bounty-Programm beizutreten, um ihre Detektionsinhalte mit der globalen Community zu teilen und wiederkehrende Belohnungen für ihren Beitrag zu erhalten.

Detektionen anzeigen Dem Threat Bounty-Programm beitreten

Gefälschte POC-Exploits, die Malware liefern: Analyse jüngster Angriffe, die Cobalt Strike Beacon verbreiten

Cyble-Forscher untersuchten kürzlich die bösartigen Proben, die im GitHub-Repository gehostet waren, und auf gefälschte POC-Exploits der Windows-Schwachstelle, die als CVE-2022-26809 identifiziert wurde, mit einem CVSS-Score von 9,8 hinwiesen. Die CVE-2022-26809-Schwachstelle in der Remote Procedure Call (RPC) Runtime Library kann durch das Senden eines speziellen RPC-Aufrufs an den entsprechenden Host ausgenutzt werden. Vor einem Monat veröffentlichte Microsoft eine dedizierte Beratung mit den Details, wie diese Schwachstelle behoben werden kann, und schlug Abschwächungen vor.

Die oben genannte Forschung enthüllte auch ein weiteres gefälschtes POC-GitHub-Repository, das als CVE-2022-24500-Exploit-Code getarnt und demselben Angreiferprofil zugehörig ist. Laut der durchgeführten Analyse verwendeten Bedrohungsakteure (TA) gefälschte POCs, um Cobalt Strike Beacon Malware zu liefern, die auf die globale Cybersecurity-Community abzielt. Die Malware führt einen PowerShell-Befehl aus, um die Cobalt Strike Beacon-Nutzlast bereitzustellen, was potenziell eine Infektionskette auslösen kann, die es Angreifern ermöglicht, weitere Nutzlasten auf den kompromittierten Systemen auszuführen. Die Untersuchung ergab auch keine Spuren von Exploits für die oben genannten Windows-Schwachstellen innerhalb des bösartigen Codes, der auf GitHub gehostet wird. Die Malware druckt einfach gefälschte Nachrichten, in denen ihre Versuche, Exploits auszuführen und den Shellcode zu starten, angezeigt werden.

Cobalt Strike Beacon ist die standardmäßig ausgelieferte Malware-Nutzlast in den Phishing-Kampagnen dieses Frühjahrs, die ukrainische staatliche Stelleneinschließlich der SaintBear-Bedrohungsgruppe mit Cyberangriffen attackieren und gefälschte E-Mails verbreiten, in denen es Teil der Infektionskette war, die auch die Verbreitung von zwei anderen Malware-Stämmen, GrimPlant und GraphSteel-Backdoors, beinhaltete.

Folgend den bewährten Verfahren der Cyberhygiene wird InfoSec-Fachleuten empfohlen, sicherzustellen, dass die herunterzuladenden Quellen glaubwürdig sind, bevor sie POCs aus öffentlich zugänglichen Ressourcen verwenden. Solche ausgeklügelten Cyberangriffe mit als POC-Exploits getarnter Malware betonen die Rolle der kollaborativen Cyberabwehr, die dazu beiträgt, das Bewusstsein für Cybersicherheit in der gesamten InfoSec-Gemeinschaft zu stärken und als starke Quelle im Kampf gegen Angreiferkampagnen zu wirken. SOC Primes Plattform verwandelt die Kraft der kollaborativen Cyberabwehr in Innovation und ermöglicht Detection-as-Code-Operationen in der Praxis, die Teams unabhängig von ihrem Reifegrad und der verwendeten Sicherheits-Toolkits dabei helfen, den Angreifern einen Schritt voraus zu sein.