Detecção de Prova de Conceito (POC) Falsa: Ciberataques Alvejando a Comunidade InfoSec Explorando a Vulnerabilidade CVE-2022-26809 do Windows para Entregar o Cobalt Strike Beacon

Pesquisadores alertam a comunidade global de InfoSec sobre uma nova campanha de malware destinada a espalhar o infame malware Cobalt Strike Beacon via exploits falsos de Prova de Conceito (POC) das vulnerabilidades do Windows recém-corrigidas, incluindo a falha crítica de RCE rastreada como CVE-2022-26809. A disponibilidade pública de exploits falsos no GitHub aumenta o risco expondo milhões de usuários da principal plataforma de desenvolvimento de código aberto a graves riscos. 

Detectar Exploits Falsos de POC Espalhando Malware Cobalt Strike Beacon  

Para se proteger, os profissionais de InfoSec acompanham continuamente novas correções de segurança para CVEs críticos e frequentemente dependem de exploits POC disponíveis em plataformas confiáveis como o GitHub, portanto, esses casos de lançamentos de código de exploit falso precisam de atenção especial do ponto de vista da defesa cibernética. A plataforma Detection as Code da SOC Prime seleciona os interesses de sua comunidade global de cibersegurança, fornecendo às equipes conteúdo de detecção para ameaças críticas, mesmo para os casos de uso mais complicados. Para identificar as variantes de malware Cobalt Strike Beacon entregues nesta última campanha adversária que usa um POC falso da falha CVE-2022-26809, explore uma regra Sigma dedicada escrita por nosso experiente desenvolvedor Threat Bounty, Osman Demir:

CVE-2022-26809 Prova de Conceito Falsa Suspeita Entregando Cobalt Strike pela Detecção do Agente de Usuário Associado [Alvo: Comunidade de InfoSec] (via proxy)

Esta consulta de caça curada é compatível com 18 soluções líderes da indústria de SIEM, EDR e XDR e está alinhada com a estrutura ATT&CK® da MITRE abordando a técnica de Protocolo da Camada de Aplicação (T1071) do repertório de táticas de Comando e Controle. Os profissionais de segurança também podem executar caças instantâneamente em seu ambiente usando esta consulta via módulo Quick Hunt da SOC Prime. 

Para acessar toda a pilha de detecção relacionada à vulnerabilidade CVE-2022-26809 e devidamente etiquetada, clique no botão Ver Detecções abaixo. Certifique-se de fazer login na plataforma Detection as Code da SOC Prime ou inscreva-se para a experiência inicial para acessar a coleção abrangente de algoritmos de detecção. Caçadores de Ameaças Progressivas e Engenheiros de Detecção que buscam novas maneiras de impulsionar suas habilidades profissionais enquanto contribuem para a expertise colaborativa são bem-vindos a participar do Programa de Recompensa por Ameaça para compartilhar seu conteúdo de detecção com a comunidade global e receber recompensas recorrentes por suas contribuições.

Ver Detecções Participar do Programa de Recompensa por Ameaça

Exploits Falsos de POC Entregando Malware: Análise de Ataques Recentes Espalhando Cobalt Strike Beacon

Pesquisadores da Cyble recentemente investigaram as amostras maliciosas hospedadas no repositório GitHub apontando para exploits falsos de POC da falha do Windows identificada como CVE-2022-26809 com pontuação CVSS de 9.8. A vulnerabilidade CVE-2022-26809 na Biblioteca de Tempo de Execução de Chamada de Procedimento Remoto (RPC) pode ser explorada enviando uma chamada RPC especial para o host correspondente. Há um mês, a Microsoft lançou um aviso dedicado com os detalhes sobre como resolver essa falha e sugeriu mitigações. 

A pesquisa acima mencionada também revelou outro repositório falso de POC no GitHub disfarçado como o código de exploit CVE-2022-24500 pertencente ao mesmo perfil de adversário. De acordo com a análise realizada, os agentes de ameaça (TA) usaram POCs falsos para entregar o malware Cobalt Strike Beacon visando a comunidade global de cibersegurança. O malware executa um comando PowerShell para implantar a carga útil do Cobalt Strike Beacon, o que pode potencialmente desencadear uma cadeia de infecção permitindo que os atacantes executem outras cargas úteis nos sistemas comprometidos. A investigação também revelou que não há vestígios de explorações para as vulnerabilidades do Windows acima-referenciadas dentro do código malicioso hospedado no GitHub. O malware simplesmente imprime mensagens falsas exibindo suas tentativas de explorar e executar o shellcode. 

O Cobalt Strike Beacon é a carga útil de malware padrão ativamente entregue nas campanhas de phishing desta primavera alvejando órgãos estatais ucranianos, incluindo o ataque cibernético do grupo de ameaça SaintBear distribuindo e-mails falsos onde fazia parte da cadeia de infecção também envolvendo a distribuição de outras duas cepas de malware, os backdoors GrimPlant e GraphSteel.

Seguindo as melhores práticas de higiene cibernética, recomenda-se aos profissionais de InfoSec que garantam que as fontes a serem baixadas sejam confiáveis antes de utilizar qualquer POC de recursos disponíveis publicamente. Tais ataques cibernéticos sofisticados com malware disfarçado como exploits POC destacam o papel da defesa cibernética colaborativa, que ajuda a aumentar a conscientização sobre a cibersegurança em toda a comunidade InfoSec e atua como uma fonte poderosa para enfrentar campanhas adversárias. A plataforma da SOC Prime transforma o poder da defesa cibernética colaborativa em inovação e permite operações de Detecção como Código em ação, ajudando as equipes, independentemente de seu nível de maturidade e do conjunto de ferramentas de segurança em uso, a se manterem à frente dos atacantes.