最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

虚假的美国政府工作提议在网络钓鱼攻击中部署Cobalt Strike

网络安全 快米云 来源:快米云 155浏览

钴罢工

一项新的网络钓鱼活动针对美国和新西兰的求职者,他们的恶意文件安装了 Cobalt Strike 信标,以远程访问受害者的设备。

该攻击是模块化和多阶段的,大多数步骤依赖于从主机内存中执行混淆脚本并滥用 Bitbucket 代码托管服务来逃避检测。

这一发现来自 Cisco Talos 的研究人员,他们观察到两种不同的网络钓鱼诱饵,既针对求职者,又导致 Cobalt Strike 的部署。

但是,攻击者会将 Amadey 和 RedLine 窃取程序的副本保存在丢弃的存储库中,因此恶意软件的传递可能会因目标而异。

针对求职者

这两种攻击都始于一封恶意电子邮件,该电子邮件向收件人提供了一份美国联邦政府的丰厚工作机会,据称是从美国人事管理办公室 (OPM) 发送的。

美国政府主题的网络钓鱼诱饵
美国政府主题的网络钓鱼诱饵 (思科)

在另一种情况下,恶意文件冒充新西兰公共服务协会 (PSA),这是该国著名的联邦雇员工会。

这些文件包含对 CVE-2017-0199 的利用,这是微软 Office 中一个被大规模利用的远程代码执行漏洞,该软件巨头 在 2017 年 4 月在积极利用 时 修复了该漏洞。

依赖此漏洞进入的最近一个值得注意的案例可以追溯到 2019 年 6 月,当时被追踪为“MuddyWater”的伊朗 APT 组织将其添加到其武器库中。

该漏洞在打开文档时触发,导致下载托管在 Bitbucket 存储库上的 Word 文档模板。

威胁参与者使用的 Bitbucket 存储库
威胁参与者 (Cisco)使用的 Bitbucket 存储库

通过 PowerShell 部署

第一种攻击方法在下载的 DOTM 模板中执行一系列 Virtual Basic 脚本,从解码数据块开始,将其写入 HTA 文件,然后使用 ShellExecuted 加载下一个脚本。

随后的脚本将数据解码为加载到主机内存上的 PowerShell 脚本,并在不接触磁盘的情况下执行。

加密的 PowerShell 生成第二个 PowerShell 下载器脚本,该脚本连接到 Bitbucket 存储库以在受感染机器上下载 DLL 文件(“newmodeler.dll”)并通过“rundll32.exe”侧载它。

最终的 PowerShell 函数
最终的 PowerShell 函数 (思科)

在 Talos 研究人员看到的案例中,该 DLL 是 Cobalt Strike,一个被广泛滥用的渗透测试和攻击性安全套件。

第一种攻击方法概述
第一种攻击方法概述 (思科)

第二个攻击链不太复杂,因为它使用从 Bitbucket 获取的下载器可执行文件,作为受害者计算机上的进程运行,并冒着被检测的风险。

可执行文件启动一个 PowerShell 命令,将 Cobalt Strike DLL 下载到 %UserProfile%\AppData\Local\Temp 目录,然后自行删除。

第二种攻击方式概述
第二种攻击方法概述 (思科)

Cobalt Strike 信标允许威胁参与者在受感染的设备上远程执行命令,从而允许威胁参与者窃取数据或通过受感染的网络横向传播。

至于 C2,信标与 (“185[.]225[.]73[.]238”) 通信,这是一个位于荷兰的阿里巴巴托管的 Ubuntu 服务器,包含两个自签名且有效的 SSL 证书。

Cobalt Strike 信标的配置
Cobalt Strike 信标的配置 (Cisco)

思科的研究人员这次没有提供任何归属细节,攻击中使用的方法与各种犯罪者的策略相匹配,从间谍组织到勒索软件团伙。

由于 Cobalt Strike 是获得对企业网络的初始访问权限并在其中横向传播的最广泛使用的工具之一,我们看到在过去几年中分发信标的网络钓鱼攻击有所增加。

去年,  Emotet 网络钓鱼攻击 首次开始使用 Cobalt Strike,最近,网络钓鱼攻击针对的是 俄罗斯持不同政见者 和 乌克兰实体

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 虚假的美国政府工作提议在网络钓鱼攻击中部署Cobalt Strike