이번 주의 규칙: 다단계 APT 공격을 통해 전달된 Cobalt Strike

이번 달, 연구자들은 발견했습니다 미정의된 APT 그룹에 의해 진행된 다단계 공격을. 이 공격 동안, 적대자들은 Cobalt Strike에서 Malleable C2 기능을 사용하여 C&C 통신을 수행하고 최종 페이로드를 제공했습니다. 연구자들은 공격자들이 고급 회피 기술을 사용한다고 언급했습니다. 그들은 악성 Word 매크로에서 페이로드 실행을 지연시키는 것을 관찰했습니다. 또한, 공격자들은 HTTP 응답에서 반환된 jQuery 스크립트 안에 셸코드를 숨기고, 보안 솔루션에 의해 탐지를 피하기 위해 디스크를 건드리지 않고 메모리의 버퍼에 로드합니다.

Cobalt Strike는 피해자 기기에 셸코드를 로드하는 데 사용할 수 있는 유료 침투 테스트 도구입니다. 명령 실행, 키로깅, 파일 전송, SOCKS 프록시, 권한 상승, mimikatz, 포트 스캐닝, 측방 이동 등 다양한 기능을 가지고 있습니다. 

새로운 커뮤니티 규칙 작성자 Osman Demir 는 보안 솔루션이 이 캠페인의 흔적을 찾아 조직의 네트워크에서 Cobalt Strike를 찾도록 해줍니다: https://tdm.socprime.com/tdm/info/GYbSaAgHMIKR/r2Rd23IBQAH5UgbBG7zA/?p=1

이 규칙은 다음 플랫폼에 대한 번역을 제공합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 초기 액세스

기술: 스피어 피싱 첨부 파일 (T1193)

Cobalt Strike 수정을 탐지하기 위한 추가 콘텐츠: https://tdm.socprime.com/?searchValue=cobalt+strike