Règle de la Semaine : Cobalt Strike Distribué via une Attaque APT Multiphase

Ce mois-ci, des chercheurs ont découvert une attaque en plusieurs étapes menée par un groupe APT non défini. Au cours de cette attaque, les adversaires ont utilisé la fonctionnalité Malleable C2 dans Cobalt Strike pour réaliser des communications C&C et livrer la charge finale. Les chercheurs notent que les attaquants utilisent des techniques d’évasion avancées. Ils ont observé un délai intentionnel dans l’exécution de la charge depuis la macro Word malveillante. De plus, les attaquants cachent le shellcode dans le script jQuery retourné dans la réponse HTTP et le chargent dans un tampon en mémoire sans toucher au disque pour éviter la détection par les solutions de sécurité.

Cobalt Strike est un outil de pentesting payant qui peut être utilisé pour charger du shellcode sur des machines victimes. Il possède une multitude de fonctionnalités incluant l’exécution de commandes, la journalisation des touches, le transfert de fichiers, le proxying SOCKS, l’escalade de privilèges, mimikatz, le scan de ports et le déplacement latéral.

Nouvelle règle communautaire par Osman Demir permet aux solutions de sécurité de repérer les traces de cette campagne et de trouver Cobalt Strike dans le réseau de l’organisation : https://tdm.socprime.com/tdm/info/GYbSaAgHMIKR/r2Rd23IBQAH5UgbBG7zA/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK :

Tactiques : Accès Initial

Techniques : Piège par hameçonnage attaché (T1193)

Plus de contenu pour détecter les modifications de Cobalt Strike : https://tdm.socprime.com/?searchValue=cobalt+strike