Detección de Prueba de Concepto (POC) Falsa: Ciberataques Dirigidos a la Comunidad InfoSec Explotando la Vulnerabilidad de Windows CVE-2022-26809 para Entregar Cobalt Strike Beacon

Los investigadores advierten a la comunidad global de InfoSec sobre una nueva campaña de malware destinada a propagar el infame malware Cobalt Strike Beacon a través de falsos exploits de Prueba de Concepto (POC) de las vulnerabilidades de Windows recién parcheadas, incluyendo la falla crítica RCE rastreada como CVE-2022-26809. La disponibilidad pública de falsos exploits en GitHub aumenta los riesgos exponiendo a millones de usuarios de la principal plataforma de desarrollo de código abierto a graves peligros. 

Detectar Exploits Falsos POC que Propagan Malware Cobalt Strike Beacon  

Para mantenerse protegido, los practicantes de InfoSec mantienen continuamente el seguimiento de nuevos parches de seguridad para CVEs críticos y frecuentemente se basan en exploits POC disponibles en plataformas confiables como GitHub, por lo tanto, tales casos de liberaciones de código de exploits falsos requieren especial atención desde la perspectiva de la defensa cibernética. La plataforma Detection as Code de SOC Prime cura los intereses de su comunidad global de ciberseguridad proporcionando equipos con contenido de detección para amenazas críticas incluso para los casos de uso más complicados. Para identificar las cepas de malware Cobalt Strike Beacon entregadas en esta última campaña adversaria que utiliza un POC falso de la falla CVE-2022-26809, explore una regla Sigma dedicada escrita por nuestro experimentado desarrollador de Threat Bounty, Osman Demir:

POC Falso CVE-2022-26809 Sospechoso que Entrega Cobalt Strike por Detección del Agente de Usuario Asociado [Dirigido a la Comunidad InfoSec] (a través de proxy)

Esta consulta de cacería curada es compatible con 18 soluciones líderes de la industria SIEM, EDR y XDR y alineada con el framework MITRE ATT&CK® abordando la técnica de Protocolo de Capa de Aplicación (T1071) del repertorio táctico de Comando y Control. Los practicantes de seguridad también pueden ejecutar rápidamente cacerías en su entorno usando esta consulta vía módulo Quick Hunt de SOC Prime. 

Para acceder a todo el conjunto de detección relacionado con la vulnerabilidad CVE-2022-26809 y etiquetado en consecuencia, haga clic en el Ver Detecciones botón de abajo. Asegúrese de iniciar sesión en la plataforma Detection as Code de SOC Prime o regístrese para la experiencia de inicio para alcanzar la colección completa de algoritmos de detección. Los Threat Hunters progresivos y los Ingenieros de Detección que buscan nuevas formas de potenciar sus habilidades profesionales mientras contribuyen a la experiencia colaborativa son bienvenidos a unirse al Programa Threat Bounty para compartir su contenido de detección con la comunidad global y recibir recompensas recurrentes por sus contribuciones.

Ver Detecciones Únete a Threat Bounty

Falsos Exploits POC Entregando Malware: Análisis de Ataques Recientes que Propagan Cobalt Strike Beacon

Los investigadores de Cyble recientemente investigaron las muestras maliciosas alojadas en el repositorio de GitHub señalando falsos exploits POC de la falla de Windows identificada como CVE-2022-26809 con un puntaje CVSS de 9.8. La vulnerabilidad CVE-2022-26809 en la Biblioteca de Tiempo de Ejecución de Llamadas a Procedimiento Remoto (RPC) puede ser explotada enviando una llamada RPC especial al host correspondiente. Hace un mes, Microsoft lanzó un asesoramiento dedicado con los detalles sobre cómo abordar esta falla y sugirió mitigaciones. 

La investigación mencionada también reveló otro repositorio falso de POC en GitHub disfrazado como el código de exploit de CVE-2022-24500 perteneciente al mismo perfil de adversario. De acuerdo con el análisis realizado, los actores de amenazas (TA) utilizaron POCs falsos para entregar malware Cobalt Strike Beacon con el objetivo de atacar a la comunidad global de ciberseguridad. El malware ejecuta un comando de PowerShell para desplegar la carga útil de Cobalt Strike Beacon, lo que potencialmente puede desencadenar una cadena de infección que permite a los atacantes ejecutar otras cargas útiles en los sistemas comprometidos. La investigación también reveló que no hay rastros de exploits para las vulnerabilidades de Windows mencionadas anteriormente dentro del código malicioso alojado en GitHub. El malware simplemente imprime mensajes falsos mostrando sus intentos de explotar y ejecutar el shellcode. 

Cobalt Strike Beacon es la carga útil de malware predeterminada activamente entregada en las campañas de phishing de esta primavera dirigidas a cuerpos estatales ucranianos, incluyendo el ciberataque del grupo de amenazas SaintBear distribuyendo correos electrónicos falsos donde formaba parte de la cadena de infección que también involucraba la distribución de otras dos cepas de malware, las puertas traseras GrimPlant y GraphSteel. distributing fake emails where it was part of the infection chain also involving the distribution of two other malware strains, GrimPlant and GraphSteel backdoors.

Siguiendo las mejores prácticas de higiene cibernética, se recomienda a los practicantes de InfoSec asegurarse de que las fuentes a descargar sean creíbles antes de utilizar cualquier POC de recursos disponibles públicamente. Tales sofisticados ciberataques con malware disfrazado de exploits POC enfatizan el papel de la defensa cibernética colaborativa, que ayuda a aumentar la conciencia de ciberseguridad en toda la comunidad InfoSec y actúa como una fuente poderosa para confrontar campañas adversarias. La plataforma de SOC Prime convierte el poder de la defensa cibernética colaborativa en innovación y permite operaciones Detection-as-Code en acción ayudando a los equipos independientemente de su nivel de madurez y el conjunto de herramientas de seguridad en uso a estar un paso adelante de los atacantes.