Diesen Monat haben Forscher entdeckt einen mehrstufigen Angriff durch eine nicht näher definierte APT-Gruppe. Während dieses Angriffs nutzten die Angreifer die Malleable C2-Funktion in Cobalt Strike, um C&C-Kommunikationen durchzuführen und die endgültige Nutzlast zu liefern. Forscher stellen fest, dass Angreifer fortschrittliche Umgehungstechniken verwenden. Sie beobachteten eine absichtliche Verzögerung bei der Ausführung der Nutzlast aus dem bösartigen Word-Makro. Außerdem verstecken die Angreifer Shellcode innerhalb des jQuery-Skripts, das in der HTTP-Antwort zurückgegeben wird, und laden es in einen Puffer im Speicher, ohne die Festplatte zu berühren, um eine Erkennung durch Sicherheitslösungen zu vermeiden.
Cobalt Strike ist ein kostenpflichtiges Pentesting-Tool, das verwendet werden kann, um Shellcode auf Opfermaschinen zu laden. Es bietet eine Fülle von Funktionen, darunter Befehlsausführung, Keylogging, Dateitransfer, SOCKS-Proxying, Privilegieneskalation, Mimikatz, Port-Scanning und laterale Bewegung.
Neue Gemeinschaftsregel von Osman Demir ermöglicht es Sicherheitslösungen, Spuren dieser Kampagne zu erkennen und Cobalt Strike im Netzwerk der Organisation zu finden: https://tdm.socprime.com/tdm/info/GYbSaAgHMIKR/r2Rd23IBQAH5UgbBG7zA/?p=1
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Taktiken: Initialer Zugriff
Techniken: Spearphishing-Anhang (T1193)
Mehr Inhalt zur Erkennung von Cobalt Strike-Modifikationen: https://tdm.socprime.com/?searchValue=cobalt+strike
