Microsoft Office中已有7年之久的0Day漏洞被利用以部署Cobalt Strike

网络安全公司Deep Instinct发现攻击者正在使用Cobalt Strike加载程序来部署旧的零日漏洞,这是一种相对较新的趋势。让我们更深入地探讨这一点。

Deep Instinct Threat Lab发现了一项针对乌克兰的针对性操作,其中黑客使用旧的零日漏洞CVE-2017-8570作为Cobalt Strike Beacon的初始向量和自定义加载程序,Cobalt Strike Beacon是一款专业测试工具,专为由红队评估计算机安全性。然而,在这次攻击中,黑客使用的是没有合法用户的破解版本。

他们利用2017年发现的Microsoft Office旧漏洞CVE-2017-8570来启动针对乌克兰系统的Cobalt Strike Beacon。他们使用恶意PPSX(PowerPoint幻灯片)文件伪装成旧的美国陆军扫雷坦克刀片说明手册,绕过传统安全措施,使他们能够隐藏有效载荷并使分析复杂化。该文件在HTTPS URL之前使用“script:”前缀来隐藏有效负载并使分析变得复杂。

“该诱饵包含与军事相关的内容,表明它的目标是军事人员。但域名weavesilk(.)space和petapixel(.)fun被伪装成一个不起眼的生成艺术网站(weavesilk(.)com)和一个流行的摄影网站(petapixel(.)com)。这些是不相关的,而且有点令人费解的是为什么攻击者会专门使用这些来愚弄军事人员。” ---Deep Instinct Threat Lab

Cobalt Strike加载程序(一种常用于针对性攻击的恶意多功能工具集)的使用表明攻击者采用了复杂的方法。Cobalt Strike允许对手部署恶意软件、窃取数据并在受感染的系统上保持持久性。在乌克兰,它被用作这些零日漏洞利用的交付机制,最大限度地发挥其影响。

Deep Instinct的研究表明,攻击者正在积极利用零日漏洞,这是安全软件供应商未知的漏洞。这使得它们特别危险,因为传统防御可能无法检测和阻止它们。

研究人员无法将这些攻击归因于任何已知的威胁行为者,也无法排除红队演习的可能性。有证据表明样本是从乌克兰上传的,第二阶段由俄罗斯VPS提供商托管,Cobalt信标C&C是在波兰华沙注册的。

“鉴于我们在过去4年中看到的针对超过12个月的边缘设备和电子邮件服务器CVE的nday利用趋势,看到威胁行为者利用 2017年的Wine漏洞令人耳目一新,”Casey Ellis表示,Bugcrowd创始人兼首席战略官

“使用未记录的低级WinAPI调用也是不寻常的。我可以理解为什么威胁分析师在归因方面遇到困难,这是一个深奥且有点书呆子的杀戮链。”凯西解释道。

“除了技术问题之外,值得注意的是,这不是俄罗斯,而且TTP表明这是一个以前不为人知的参与者。Cobalt Strike用作C2相当普遍,这里的关键要点是容易被遗忘的软件中的旧漏洞仍然很重要。“

Deep Instinct的研究表明,传统的安全解决方案可能不足以应对零日攻击。组织应通过行为分析和机器学习采用先进的威胁检测。警惕也至关重要,特别是针对针对乌克兰的网络威胁,以及结合防火墙和防病毒软件的主动防御策略。

发表评论

评论已关闭。

相关文章