Regra da Semana: Cobalt Strike Entregue via Ataque APT Multiestágio

Neste mês, pesquisadores descobriram um ataque em várias etapas conduzido por um grupo APT não definido. Durante este ataque, os adversários usaram o recurso Malleable C2 no Cobalt Strike para realizar comunicações C&C e entregar a carga final. Pesquisadores observam que os atacantes usam técnicas avançadas de evasão. Eles observaram um atraso intencional na execução da carga útil a partir do macro malicioso do Word. Além disso, atacantes escondem shellcode dentro do script jQuery retornado na resposta HTTP e o carregam em um buffer na memória sem tocar no disco para evitar a detecção por soluções de segurança.

O Cobalt Strike é uma ferramenta paga de pentesting que pode ser usada para carregar shellcode em máquinas vítimas. Ele possui uma ampla funcionalidade, incluindo execução de comandos, keylogging, transferência de arquivos, proxy SOCKS, escalonamento de privilégios, mimikatz, varredura de portas e movimentação lateral. 

Nova regra comunitária por Osman Demir permite que as soluções de segurança identifiquem vestígios desta campanha e encontrem Cobalt Strike na rede da organização: https://tdm.socprime.com/tdm/info/GYbSaAgHMIKR/r2Rd23IBQAH5UgbBG7zA/?p=1

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Acesso Inicial

Técnicas: Spearphishing Attachment (T1193)

Mais conteúdo para detectar modificações do Cobalt Strike: https://tdm.socprime.com/?searchValue=cobalt+strike