Détection de Faux Proof of Concept (POC) : Cyberattaques Ciblant la Communauté InfoSec Exploitant la Vulnérabilité Windows CVE-2022-26809 pour Délivrer le Balise Cobalt Strike

Les chercheurs avertissent la communauté mondiale de la sécurité de l’information d’une nouvelle campagne de logiciels malveillants visant à répandre le tristement célèbre logiciel malveillant Cobalt Strike Beacon via de faux exploits Proof of Concept (POC) des vulnérabilités Windows récemment corrigées, y compris la faille critique RCE suivie sous le nom CVE-2022-26809. La disponibilité publique de faux exploits sur GitHub augmente les enjeux en exposant des millions d’utilisateurs de la principale plateforme de développement open source à des risques graves. 

Détecter les faux exploits POC diffusant des logiciels malveillants Cobalt Strike Beacon  

Pour rester protégés, les praticiens de la sécurité de l’information suivent en permanence les nouveaux correctifs de sécurité pour les CVE critiques et comptent fréquemment sur des exploits POC disponibles sur des plateformes fiables telles que GitHub. Par conséquent, ces cas de diffusion de faux codes d’exploit nécessitent une attention particulière du point de vue de la cyberdéfense. La plateforme SOC Prime’s Detection as Code s’efforce de répondre aux intérêts de sa communauté mondiale de cybersécurité en fournissant aux équipes du contenu de détection pour les menaces critiques, même pour les cas d’utilisation les plus complexes. Pour identifier les variantes de logiciels malveillants Cobalt Strike Beacon livrées dans cette dernière campagne d’adversaires qui utilise un faux POC de la faille CVE-2022-26809, explorez une règle Sigma dédiée rédigée par notre développeur expérimenté Threat Bounty, Osman Demir:

POC suspecte de CVE-2022-26809 livrant Cobalt Strike par détection de User Agent associé [Ciblant la communauté InfoSec] (via proxy)

Cette requête de chasse organisée est compatible avec 18 solutions SIEM, EDR et XDR de premier plan et alignée sur le cadre MITRE ATT&CK® abordant la technique du protocole de couche application (T1071) du répertoire des tactiques de Command and Control. Les praticiens de la sécurité peuvent également lancer instantanément des chasses dans leur environnement en utilisant cette requête via le module Quick Hunt de SOC Prime. 

Pour accéder à l’ensemble de la pile de détection liée à la vulnérabilité CVE-2022-26809 et étiquetée en conséquence, cliquez sur le bouton Voir les Détections ci-dessous. Veuillez vous assurer de vous connecter à la plateforme SOC Prime’s Detection as Code ou de vous inscrire pour l’expérience de démarrage afin d’accéder à la collection complète d’algorithmes de détection. Les chasseurs de menaces progressifs et les ingénieurs de détection cherchant de nouvelles façons d’améliorer leurs compétences professionnelles tout en contribuant à l’expertise collaborative sont invités à rejoindre le programme Threat Bounty pour partager leur contenu de détection avec la communauté mondiale et recevoir des récompenses récurrentes pour leur contribution.

bouton Voir les Détections Rejoignez Threat Bounty

Faux exploits POC livrant des logiciels malveillants : analyse des attaques récentes distribuant Cobalt Strike Beacon

Les chercheurs de Cyble ont récemment enquêté sur les échantillons malveillants hébergés sur le dépôt GitHub pointant vers de faux exploits POC de la faille Windows identifiée sous le nom de CVE-2022-26809 avec un score CVSS de 9.8. La vulnérabilité CVE-2022-26809 dans la bibliothèque d’exécution des appels de procédure à distance (RPC) peut être exploitée en envoyant un appel RPC spécial à l’hôte correspondant. Il y a un mois, Microsoft a publié un avis dédié avec les détails sur la façon de corriger cette faille et des mesures d’atténuation suggérées. 

Les recherches mentionnées ci-dessus ont également révélé un autre faux dépôt GitHub POC déguisé en code d’exploit CVE-2022-24500 appartenant au même profil d’adversaire. Selon l’analyse menée, les acteurs de la menace (TA) ont utilisé de faux POC pour diffuser le logiciel malveillant Cobalt Strike Beacon afin de cibler la communauté mondiale de la cybersécurité. Le logiciel malveillant exécute une commande PowerShell pour déployer la charge utile Cobalt Strike Beacon, ce qui peut potentiellement déclencher une chaîne d’infection permettant aux attaquants d’exécuter d’autres charges utiles sur les systèmes compromis. L’enquête n’a également révélé aucune trace d’exploits pour les vulnérabilités Windows susmentionnées dans le code malveillant hébergé sur GitHub. Le logiciel malveillant affiche simplement de faux messages indiquant ses tentatives d’exploitation et exécute le shellcode. 

Cobalt Strike Beacon est la charge utile malveillante par défaut livrée dans les campagnes de phishing de ce printemps ciblant les organismes d’État ukrainiens, y compris le cyberattaque du groupe de menaces SaintBear distribuant de faux e-mails où il faisait partie de la chaîne d’infection impliquant également la distribution de deux autres souches de logiciels malveillants, les portes dérobées GrimPlant et GraphSteel.

En suivant les meilleures pratiques d’hygiène cybernétique, il est recommandé aux praticiens de l’InfoSec de s’assurer que les sources à télécharger sont crédibles avant d’exploiter tout POC de ressources disponibles publiquement. De telles cyberattaques sophistiquées avec des logiciels malveillants déguisés en exploits POC soulignent le rôle de la défense cyber collaborative, qui aide à renforcer la sensibilisation à la cybersécurité dans l’ensemble de la communauté InfoSec et agit comme une source puissante pour faire face aux campagnes adverses. La plateforme SOC Prime transforme la puissance de la défense cyber collaborative en innovation et permet aux opérations Detection-as-Code d’agir, aidant les équipes, quel que soit leur niveau de maturité et leur trousse à outils de sécurité en usage, à garder une longueur d’avance sur les attaquants.