Regel der Woche: Cobalt Strike über mehrstufigen APT-Angriff ausgeliefert

Diesen Monat haben Forscher entdeckt einen mehrstufigen Angriff durch eine nicht näher definierte APT-Gruppe. Während dieses Angriffs nutzten die Angreifer die Malleable C2-Funktion in Cobalt Strike, um C&C-Kommunikationen durchzuführen und die endgültige Nutzlast zu liefern. Forscher stellen fest, dass Angreifer fortschrittliche Umgehungstechniken verwenden. Sie beobachteten eine absichtliche Verzögerung bei der Ausführung der Nutzlast aus dem bösartigen Word-Makro. Außerdem verstecken die Angreifer Shellcode innerhalb des jQuery-Skripts, das in der HTTP-Antwort zurückgegeben wird, und laden es in einen Puffer im Speicher, ohne die Festplatte zu berühren, um eine Erkennung durch Sicherheitslösungen zu vermeiden.

Cobalt Strike ist ein kostenpflichtiges Pentesting-Tool, das verwendet werden kann, um Shellcode auf Opfermaschinen zu laden. Es bietet eine Fülle von Funktionen, darunter Befehlsausführung, Keylogging, Dateitransfer, SOCKS-Proxying, Privilegieneskalation, Mimikatz, Port-Scanning und laterale Bewegung. 

Neue Gemeinschaftsregel von Osman Demir ermöglicht es Sicherheitslösungen, Spuren dieser Kampagne zu erkennen und Cobalt Strike im Netzwerk der Organisation zu finden: https://tdm.socprime.com/tdm/info/GYbSaAgHMIKR/r2Rd23IBQAH5UgbBG7zA/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Initialer Zugriff

Techniken: Spearphishing-Anhang (T1193)

Mehr Inhalt zur Erkennung von Cobalt Strike-Modifikationen: https://tdm.socprime.com/?searchValue=cobalt+strike