Neste mês, pesquisadores descobriram um ataque em várias etapas conduzido por um grupo APT não definido. Durante este ataque, os adversários usaram o recurso Malleable C2 no Cobalt Strike para realizar comunicações C&C e entregar a carga final. Pesquisadores observam que os atacantes usam técnicas avançadas de evasão. Eles observaram um atraso intencional na execução da carga útil a partir do macro malicioso do Word. Além disso, atacantes escondem shellcode dentro do script jQuery retornado na resposta HTTP e o carregam em um buffer na memória sem tocar no disco para evitar a detecção por soluções de segurança.
O Cobalt Strike é uma ferramenta paga de pentesting que pode ser usada para carregar shellcode em máquinas vítimas. Ele possui uma ampla funcionalidade, incluindo execução de comandos, keylogging, transferência de arquivos, proxy SOCKS, escalonamento de privilégios, mimikatz, varredura de portas e movimentação lateral.
Nova regra comunitária por Osman Demir permite que as soluções de segurança identifiquem vestígios desta campanha e encontrem Cobalt Strike na rede da organização: https://tdm.socprime.com/tdm/info/GYbSaAgHMIKR/r2Rd23IBQAH5UgbBG7zA/?p=1
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Acesso Inicial
Técnicas: Spearphishing Attachment (T1193)
Mais conteúdo para detectar modificações do Cobalt Strike: https://tdm.socprime.com/?searchValue=cobalt+strike
