偽の概念実証 (POC) 検出: Windows CVE-2022-26809 の脆弱性を悪用して Cobalt Strike Beacon を配信するインフォセック・コミュニティを標的としたサイバー攻撃

研究者たちは、新たな悪意のあるキャンペーンが有名な Cobalt Strike Beacon マルウェア を広めることを目的として、新たにパッチが適用された Windows の脆弱性の偽の Proof of Concept (POC) エクスプロイトを介して広がっていることを、世界の情報セキュリティコミュニティに警告しています。そのうちには CVE-2022-26809 として追跡されている重大な RCE の欠陥も含まれています。GitHub での偽のエクスプロイトの公開は、主要なオープンソース開発プラットフォームの数百万のユーザーに重大なリスクをもたらしています。 

Cobalt Strike Beacon マルウェアを広める偽の POC エクスプロイトを検出  

保護を維持するために、情報セキュリティの専門家は、新しいセキュリティパッチを常に追跡し、脆弱な CVE のため、GitHub などの信頼できるプラットフォームで利用可能な POC エクスプロイトに頻繁に頼っています。したがって、偽のエクスプロイトコード公開の事例は、サイバー防衛の観点から特別な注意が必要です。SOC Prime の Detection as Code プラットフォームは、グローバルなサイバーセキュリティコミュニティの利益をキュレーションし、困難なユースケースに対しても重要な脅威の検出コンテンツを提供しています。この最新の敵対的キャンペーンで使用される CVE-2022-26809 欠陥の偽の POC によって配布される Cobalt Strike Beacon マルウェア株を特定するため、我々の経験豊富な Threat Bounty 開発者である Osman Demir:

によって書かれた Sigma ルールを探索します。[情報セキュリティコミュニティをターゲットにした]（プロキシ経由）で Cobalt Strike を配信する関連ユーザーエージェントの検出による疑わしい偽装 CVE-2022-26809 Proof Of Concept

このキュレートされたハンティングクエリは、18 の業界をリードする SIEM、EDR、および XDR ソリューション向けに互換性があり、MITRE ATT&CK® フレームワークと aligned し、Command and Control 戦術の Application Layer Protocol (T1071) テクニックに対応しています。セキュリティ専門家は、環境内でこのクエリを使用してすぐにハントを実行することもできます。 SOC Prime の Quick Hunt モジュール. 

CVU-2022-26809 の脆弱性に関連するすべての検出スタックにアクセスし、それに応じてタグ付けを行うには、 検出を表示 以下のボタンをクリックしてください。包括的な検出アルゴリズムコレクションにアクセスするには、SOC Prime の Detection as Code プラットフォームにログインするか、開始体験のためにサインアップしてください。専門技能を高めながら協力的な専門知識に貢献する新しい方法を模索する進歩的な脅威ハンターと検出エンジニアは、Threat Bounty Program に参加して検出コンテンツをグローバルコミュニティと共有し、入力に対して継続的な報酬を受け取ることを歓迎します。

検出を表示 Threat Bounty に参加

偽の POC エクスプロイトがマルウェアを配信: Cobalt Strike Beacon を広める最近の攻撃の分析

Cyble 研究者は 最近、GitHub リポジトリにホスティングされた悪意のあるサンプルを調査し、 CVSS スコア 9.8 の CVE-2022-26809 として特定された Windows の欠陥の偽の POC エクスプロイトを指摘しました。 Remote Procedure Call (RPC) ランタイムライブラリの CVE-2022-26809 の脆弱性は、対応するホストに特別な RPC 呼び出しを送信することで悪用される可能性があります。1 か月前、Microsoft は、 専用アドバイザリ をリリースし、この欠陥に対処する方法と推奨される緩和策の詳細を提示しました。

上記の研究は、同じ攻撃者プロファイルに属する CVE-2022-24500 エクスプロイトコードとして偽装されたもう一つの偽の POC GitHub リポジトリも明らかにしました。 fake POC GitHub repository disguised as the CVE-2022-24500 exploit code belonging to the same adversary profile. 実施された分析によれば、脅威アクター (TA) は偽の POC を使用して、世界的なサイバーセキュリティコミュニティをターゲットに Cobalt Strike Beacon マルウェアを配信しました。マルウェアは PowerShell コマンドを実行して Cobalt Strike Beacon ペイロードをデプロイし、攻撃者が侵害されたシステム上で他のペイロードを実行できる感染チェーンを引き起こす可能性があります。この調査では、GitHub にホスティングされている悪意のあるコード内に上記参照された Windows の脆弱性へのエクスプロイトの痕跡は発見されませんでした。マルウェアは単に、抜け穴を突こうとする試みとシェルコードを実行しようとする偽メッセージを表示します。

Cobalt Strike Beacon は、この春のフィッシングキャンペーンで積極的に配信される標準的なマルウェアペイロードであり、 ウクライナの国家機関をターゲットにしていました。また、 SaintBear 脅威グループのサイバー攻撃 も含まれており、そこでは GrimPlant と GraphSteel バックドアという二つの他のマルウェア株も配布される感染チェーンの一部として偽のメールが配布されました。

サイバー衛生のベストプラクティスに従って、情報セキュリティ専門家は、公開されているリソースからの POC を利用する前に、ダウンロードするソースが信頼できることを確認することが推奨されます。POC エクスプロイトとして偽装されたマルウェアを伴うこのような高度なサイバー攻撃は、情報セキュリティコミュニティ全体でのサイバーセキュリティ意識を向上させ、敵対的キャンペーンに対抗するための強力な源となる協力的なサイバー防衛の役割を強調しています。 SOC Prime のプラットフォーム は、協力的なサイバー防衛の力を革新に変え、チームが攻撃者を先取りするのに役立つ Detection-as-Code オペレーションをアクションで可能にします。