🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
استشارة
استخبارات الخصمالفاعلون
مجموعة كوبالتسترايك/كارباناكالنظام المستهدف
البنية الأساسية لنظام التشغيل Windowsملخص تنفيذي
تقوم APTs بحملات ذات أمان تشغيلي عالي جدًا. نتيجة لذلك، من الممل تتبع أنشطتهم. اكتشف باحثو التهديدات في CloudSek أنماطًا وتغييرات مثيرة للاهتمام في الطريقة التي تعمل بها هذه الجهات الفاعلة حاليًا.تقوم مجموعات التهديد البارزة بتشكيل تحالفات مع جهات فاعلة أخرى من هذا القبيل لتعظيم التأثير والأرباح. هناك نواقل هجوم جديدة في البرية بعيدة المنال بطبيعتها حتى لا تنبه إلى أي حلول أمنية منتشرة في البيئة المستهدفة.الأنشطة
جمعية FIN7-ريوك
استنادًا إلى المعلومات الاستخبارية التي تمكنا من جمعها من مصادر موثوقة مختلفة، تم استخدام البنية التحتية لهجوم FIN7 من قبل جهة التهديد للحصول على وصول أولي في شبكة المؤسسة التي من شأنها أن تمهد الطريق لاحقًا لهجوم RYUK ransomware. يمكن إرجاع تكتيكات وتقنيات وإجراءات ممثل التهديد (TTPs) واستخدام CARBANAK RAT إلى FIN7. هذا يعزز افتراضنا حول التعاون بين FIN7 وWIZARD SPIDER/FIN6 الذي يطلق عليه اسم RYUK.ناقلات الهجوم الجديدة التي تم استغلالها بواسطة CobaltStrike APTs
فيكتور أ
حقن القالب مع التنفيذ المتأخر للحمولة الصافية وكوبالت C2 القابل للطرقلاحظ فريق CloudSek Threat Intelligence وجود ناقل هجوم جديد يستخدمه الممثل للتهرب من الأمن من خلال شن هجمات التصيد الاحتيالي ضد الأهداف. يقوم بتسليح مستند Word القادر على تنظيم تنزيل منارة Cobalt عبر حقن القالب. يستخدم الخصم تجميعات.NET لتوفير وظائف مساعدة تساعد في تحقيق أهداف الممثل.أناديا وليد resume.doc259632b416b4b869fc6dc2d93d2b822 edf6526c0f57723 ad5c326a92d30621القالب البعيد: indexa.dotm7f1325c5a9266e649743ba714d02c819a8bfc7fc7fd58e28e282b123ea260c0ce2عنوان URL للقالب البعيدhttps://yenile[.]asia/YOOMANHOWYOUDARE/C2time.updateset [.] comEcmd.exeaeb4c3ff5b5a62f5b7f1f958885 f76795 ee792 c12244 cee7e36 d9050 cfb298مقهى دكا 947152 ص 6572 درهم 61 د 7أ 3783 e6137901662e6b5b5 cad82 bf5d89955 قدم 49 أمبير 47 ديسيبل 8 عمق 19 ديسيبل 5 عمق 3625 قدم 28561 قدم 584 ب 1 أ 226 عمق 09 عمق 45455 قدم مربع 38 ج 73 أ 79 درجة مئويةcf.ini0 إبا 651 إي 5 دي 54 بدن 5 بي بي 502327 ديف 6979 دي 7e3eb63b518756 f659 f373 aa5f4f8bرمز قذيفة Cf.ini بعد فك التشفير5143c5d8715 cfc1e70e9db00184592 c6cfb4b9312 ee02739 d098c6bc83e9تم تنزيل كود شل كوبالت سترايك8 cfd023f1a40774 a9b6ef3db75dea10eb7f601 c308f8837920417 f1ed702حمولة كوبالتسترايك7963 إيدا 16 ب 6277 e5 b4 fbd5d0b683593877 d50a6ea7e64d2f5 def605 إبا 1162aفيكتور ب
تسليم حمولة كوبالت المشفرة بالصورةلاحظ فريق CloudSek Threat Intelligence تسليمًا غير عادي للمنارة المشفرة في صورة PNG، والتي يتم استضافتها على منصة استضافة الصور Imgur. عندما يتم تنفيذ وحدات الماكرو المضمنة، فإنها تقوم بتشغيل برنامج Powershell النصي الذي يقوم أيضًا بتنزيل برنامج Powershell الثاني الذي يتم استضافته بعد ذلك على Github. يقوم البرنامج النصي Powershell بعد ذلك بتنزيل صورة (PNG) من الصورة المستضافة على Imgur، والتي بدورها عبارة عن حمولة CobaltStrike مشفرة. بعد تنزيل الصورة، يقوم البرنامج النصي Powershell بفك تشفير الحمولة التي تمكّن بدورها منارة CobaltStrike من الاتصال بالبنية التحتية للمهاجمين.ملف هاشd1c7a7511bd09b53c651f8cc43e9c361b36b80265 ba11164 f88d6863 f0832d8f81ED93CE9F84DBEA 3C070B8E03B82B95EB0944C6444D967820a890E8218B866المجال: المنفذمازيون 1234-44451 [.] خريطة الميناء [.] المضيف: 44451رابطhxp: //مازيون1234-44451. portmap.host/fvroمعلومات استخبارية متنوعة عن ممثلي CobaltStrike
تم تحديد سلالة جديدة من برامج الفدية المعروفة باسم CRING باستخدام «منارة الكوبالت» في حملاتها لتنفيذ مراحل ما بعد الاستغلال والحركة الجانبية لسلسلة القتل.
تجزئات
38217fa569df8f93434959c1c798b29d8 دي 156725 سم 6 سي 172 ب 59 أ 8 د 3 ج 92434 ج 3528 دي 1650 إي 5 إي 02 سي دي 1934 دي 21 سي 57 إف 6 إف 1 إف 34d8415a528 df5 eefcb3ed6f1a79746 f40التأثير
- نظرًا لأن منارة Cobalt قادرة على استخدام أساليب مختلفة مثل طرق حقن العمليات للتهرب من أنظمة الأمان والبقاء في البيئة المستهدفة دون اكتشافها، حتى العمليات المشروعة التي تعمل على الجهاز المستهدف يمكن أن تصاب بالعدوى.
- يمكن إخفاء تسريب البيانات واتصالات C2 في حركة مرور الشبكة ذات المظهر البريء من خلال استخدام إمكانات C2 المرنة.
- يمكن للمهاجم دمج الأطر الشائعة الأخرى مثل Metasploit/Empire و Mimikatz لتنفيذ مراحل ما بعد الاستغلال بما في ذلك الحركة الجانبية وتصعيد الامتيازات.
- يمكن لممثل التهديد التحكم في نظام التشغيل المستهدف مما يؤدي إلى الوصول إلى القرص باستخدام أذونات القراءة/الكتابة/التنفيذ.
- يمكن للمهاجم إجراء تغييرات على خدمات النظام والسجلات التي تعد عناصر مهمة في أي نظام Windows، لتمكين الثبات.
- يمكن لـ CobaltStrike تنظيم خادم VNC للتحكم في الضحية عن بُعد.
- يمنح التكامل مع PowerShell المهاجم وسيلة سهلة لمزيد من الاستطلاع وتكتيكات ما بعد الاستغلال مثل تحميل DLL لاستخدام البرامج المخصصة التي صنعها المهاجمون لتعزيز الهجوم.
- يمكن تجاوز المصادقة الثنائية باستخدام نماذج الهجوم مثل Browser Pivot، لاختطاف جلسة مصادقة للمستخدم المخترق وتقليد الهدف.
- تتيح إمكانات حفر الأنفاق المتقدمة المضمنة في Cobalt للمهاجمين إجراء التمحور في أجزاء أخرى من الشبكة عبر موطئ قدم مخترق.
التخفيف
- يجب أن تحاكي صناديق الرمل الأنابيب المسماة لاكتشاف وجود كود غلاف الكوبالت حيث يخفي CobaltStrike كود الغلاف فوق الأنابيب المسماة.
- فحص صارم للغاية لحركة مرور الشبكة للكشف عن اتصالات Cobalt C2. يكمن التحدي في أنه نظام C2 مرن يمكنه استخدام أي ملف تعريف للتطبيقات الشرعية التي يمليها المشغل للتهرب من الأمان والاكتشاف. يجب أن يركز فريق الأمان بشكل خاص على حركة مرور HTTPS لأنها القناة الافتراضية لاتصالات C2.
- يساعد تحليل التردد لحركة مرور الشبكة في تحديد حركة مرور الروبوتات من حركة المرور التي يولدها الإنسان لأن الأخيرة لن تكون موحدة.
- إذا كان عنوان HOST لحركة المرور لا يتطابق مع عنوان الوجهة، فمن المحتمل أن يكون عنوانًا ضارًا.
- تحقق من URI مقابل مؤشرات CobaltStrike URI المختلفة للتسوية لتأكيد وجود منارة Cobalt.
- قم بتطبيق قاعدة «الامتياز الأقل» على حسابات المجال لتقييد المستخدم من الحصول على امتياز أكثر مما يحتاج إليه.
- الاستخدام الفعال لأنظمة SIEM لمراقبة حركة الدخول والخروج.
- عزل الشبكة وتقسيمها بشكل صحيح لحماية الأصول الهامة.
- يحتاج مسؤولو الأمان إلى تنفيذ برامج فعالة لإدارة الثغرات الأمنية لطرح التصحيحات والحفاظ على تحديث الأنظمة.
- اجعل المستخدمين على دراية بحملات التصيد الاحتيالي والهجمات من جانب العميل لإنقاذ أنفسهم من هجمات التصيد الاحتيالي.
