Regola della Settimana: Cobalt Strike Distribuito tramite Attacco APT Multi-Fase

Questo mese, i ricercatori hanno scoperto un attacco multi-stadio condotto da un gruppo APT non definito. Durante questo attacco, gli avversari hanno utilizzato la funzione Malleable C2 in Cobalt Strike per effettuare comunicazioni C&C e consegnare il payload finale. I ricercatori notano che gli aggressori utilizzano tecniche di evasione avanzate. Hanno osservato un ritardo intenzionale nell’esecuzione del payload dal macro Word dannoso. Inoltre, gli aggressori nascondono il shellcode all’interno dello script jQuery restituito nella risposta HTTP e lo caricano in un buffer in memoria senza toccare il disco per evitare il rilevamento da parte delle soluzioni di sicurezza.

Cobalt Strike è uno strumento pentesting a pagamento che può essere utilizzato per caricare shellcode sui computer delle vittime. Ha una vasta gamma di funzionalità tra cui l’esecuzione di comandi, il keylogging, il trasferimento di file, il proxy SOCKS, l’escalation dei privilegi, mimikatz, la scansione delle porte e il movimento laterale. 

Nuova regola della community di Osman Demir permette alle soluzioni di sicurezza di individuare tracce di questa campagna e trovare Cobalt Strike nella rete dell’organizzazione: https://tdm.socprime.com/tdm/info/GYbSaAgHMIKR/r2Rd23IBQAH5UgbBG7zA/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Accesso Iniziale

Tecniche: Allegato Spearphishing (T1193)

Ulteriori contenuti per rilevare modifiche in Cobalt Strike: https://tdm.socprime.com/?searchValue=cobalt+strike