Rilevamento di Prove di Concetto (POC) False: Attacchi Informatici che Prendono di Mira la Comunità InfoSec Sfruttando la Vulnerabilità CVE-2022-26809 di Windows per Distribuire il Cobalt Strike Beacon

I ricercatori avvertono la comunità globale InfoSec di una nuova campagna di malware mirata a diffondere il famoso malware Cobalt Strike Beacon attraverso falsi exploit Proof of Concept (POC) delle vulnerabilità Windows recentemente corrette, inclusa la grave falla RCE denominata CVE-2022-26809. La disponibilità pubblica di falsi exploit su GitHub aumenta il rischio esponendo milioni di utenti della principale piattaforma di sviluppo open source a gravi rischi. 

Rilevare falsi exploit POC che diffondono malware Cobalt Strike Beacon  

Per rimanere protetti, i professionisti InfoSec monitorano continuamente i nuovi aggiornamenti di sicurezza per CVE critiche e si affidano spesso a exploit POC disponibili su piattaforme affidabili come GitHub, pertanto, tali casi di rilascio di codice di exploit falso necessitano di particolare attenzione dal punto di vista della difesa informatica. La piattaforma Detection as Code di SOC Prime cura gli interessi della sua comunità globale di sicurezza informatica fornendo ai team contenuti di rilevamento per minacce critiche anche per i casi d’uso più complessi. Per identificare i ceppi di malware Cobalt Strike Beacon diffusi in questa ultima campagna di avversari che utilizza un falso POC della falla CVE-2022-26809, esplora una regola Sigma dedicata scritta dal nostro esperto sviluppatore Threat Bounty, Osman Demir:

Fake CVE-2022-26809 Proof Of Concept sospetto che distribuisce Cobalt Strike tramite rilevazione di User Agent associato [Mirato alla comunità InfoSec] (via proxy)

Questa query di caccia curata è compatibile con 18 soluzioni SIEM, EDR e XDR leader del settore e allineata con il framework MITRE ATT&CK®, affrontando la tecnica Application Layer Protocol (T1071) dal repertorio tattico Command and Control. I professionisti della sicurezza possono anche eseguire immediatamente ricerche nel loro ambiente utilizzando questa query tramite il modulo Quick Hunt di SOC Prime. 

Per accedere all’intero stack di rilevamento relativo alla vulnerabilità CVE-2022-26809 e contrassegnato di conseguenza, fai clic sul Visualizza Rilevamenti pulsante qui sotto. Assicurati di accedere alla piattaforma Detection as Code di SOC Prime o di registrarti per l’esperienza di kickoff per raggiungere la raccolta completa di algoritmi di rilevamento. Cacciatori di Minacce e Ingegneri di Rilevamento avanzati che cercano nuovi modi per migliorare le loro competenze professionali contribuendo all’esperienza collaborativa sono invitati a unirsi al Programma Threat Bounty per condividere i loro contenuti di rilevamento con la comunità globale e ricevere ricompense ricorrenti per il loro contributo.

Visualizza Rilevamenti Unisciti a Threat Bounty

Falsi exploit POC che distribuiscono malware: analisi degli attacchi recenti che diffondono Cobalt Strike Beacon

I ricercatori di Cyble hanno recentemente investigato sui campioni malevoli ospitati nel repository GitHub che puntano a falsi exploit POC della vulnerabilità di Windows identificata come CVE-2022-26809 con punteggio CVSS di 9.8. La vulnerabilità CVE-2022-26809 nella libreria Runtime di Remote Procedure Call (RPC) può essere sfruttata inviando una chiamata RPC speciale all’host corrispondente. Un mese fa, Microsoft ha rilasciato un consulenza dedicata con i dettagli su come affrontare questa falla e ha suggerito le mitigazioni. 

La ricerca sopra menzionata ha rivelato anche un altro falso repository GitHub POC mascherato come codice exploit CVE-2022-24500 appartenente allo stesso profilo avversario. Secondo l’analisi condotta, gli attori delle minacce (TA) hanno utilizzato falsi POC per distribuire il malware Cobalt Strike Beacon puntando alla comunità globale di sicurezza informatica. Il malware esegue un comando PowerShell per distribuire il payload Cobalt Strike Beacon, che potrebbe potenzialmente innescare una catena di infezioni permettendo agli attaccanti di eseguire altri payload sui sistemi compromessi. L’indagine ha anche rivelato nessuna traccia di exploit per le vulnerabilità di Windows sopra menzionate nel codice malevolo ospitato su GitHub. Il malware visualizza semplicemente messaggi falsi che mostrano i suoi tentativi di sfruttare e eseguire il shellcode. 

Cobalt Strike Beacon è il payload malware predefinito distribuito attivamente nelle campagne di phishing di questa primavera che mirano ai corpi statali ucraini, incluso l’attacco informatico del gruppo di minacce SaintBear che distribuisce email false dove faceva parte della catena di infezione che coinvolgeva anche la distribuzione di altri due ceppi di malware, GrimPlant e backdoors GraphSteel.

Seguendo le migliori pratiche di igiene informatica, si raccomanda ai professionisti InfoSec di assicurarsi che le fonti da scaricare siano credibili prima di utilizzare qualsiasi POC delle risorse disponibili pubblicamente. Tali sofisticati attacchi informatici con malware mascherato da exploit POC sottolineano il ruolo della difesa informatica collaborativa, che aiuta a aumentare la consapevolezza della cybersecurity in tutta la comunità InfoSec e funge da potente fonte per affrontare le campagne avversarie. La piattaforma di SOC Prime converte il potere della difesa informatica collaborativa in innovazione e abilita le operazioni Detection-as-Code in azione aiutando i team indipendentemente dal loro livello di maturità e toolkit di sicurezza utilizzato a restare un passo avanti agli attaccanti.