Aviso da Intel sobre a ameaça de malware Cobalt Strike

O conselho de inteligência de ameaças da CloudSEK sobre o malware Cobalt Strike, fornecido pelo grupo iraniano de APT MuddyWater, transforma documentos do Word em armas.

Updated on

April 17, 2026

Published on

December 31, 2020

Read MINUTES

Subscribe to the latest industry news, threats and resources.

Table of Contents

This is also a heading
This is a heading

Consultivo

Inteligência de malware

Atores de ameaças em potencial

Água barrenta

Plataforma direcionada

JanelaO APT MuddyWater iraniano potencialmente usa uma nova linha de malware. A nova variante transforma documentos do Word em armas, incorporados a macros maliciosas, que são enviados às vítimas como parte de um ataque de phishing. As macros então iniciam um script Powershell que baixa ainda mais e x. O segundo script Powershell baixa uma imagem legítima que contém um malware Cobalt Strike codificado nos pixels da imagem.

Execução de malware

Quando o malware é executado no ambiente infectado, ele inicia um script Powershell que baixa ainda mais um segundo script Powershell hospedado no Github.O script Powershell então baixa uma imagem [PNG] da plataforma de hospedagem de imagens Imgur.com, que oculta uma carga útil codificada do Cobalt Strike em seus pixels. Depois de baixar a imagem, o script Powershell decodifica a carga, o que, por sua vez, permite que o farol Cobalt Strike se conecte à infraestrutura dos atacantes. Cobalt Strike se disfarça de eicar, um arquivo de teste antimalware, para se conectar ao servidor C2.A conta que contém o script Powershell no Github. Powershell script on Github

Táticas, técnicas e procedimentos

Táticas

Técnicas

Acesso inicialT1566,001Phishing: anexo de spear phishingExecuçãoT1059,001Intérprete de comandos e scripts: PowerShellEvasão de defesaT1140Desofuscar/decodificar arquivos ou informaçõesT1027.003Arquivos ou informações ofuscadas: esteganografiaComando e controleT1001,002Ofuscação de dados: esteganografia

Indicadores de compromisso

d1c7a7511bd09b53c651f8ccc43e9c36ba80265ba11164f88d6863f0832d8f81
ed93ce9f84dbea3c070b8e03b82b95eb0944c44c6444d967820a890e8218b866
Domínio: Port: Mazzion1234-44451 [.] portmap [.] host:44451
URL: hxxp: //mazzion1234-44451.portmap.host/FVRO

Impacto

Impacto técnico:

O malware é responsável por baixar o malware Cobalt Strike.
O malware pode levar a novos ataques às vítimas

Impacto nos negócios:

Violação de privacidade
As vítimas são expostas a outros ataques

Mitigação

Tenha cuidado com qualquer anexo entregue por e-mail
Fique atualizado com os patches mais recentes
Aplique políticas eficazes de controle de aplicativos

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

Table of Contents

This is also a heading
This is a heading

Recent Articles

Anonymous Sudan alega a remoção bem-sucedida do primeiro site e aplicativo do banco de Abu Dhabi por meio de ataques de DDoS

May 29, 2023

Expondo o uso indevido de e-mail da Qwiklabs em fraudes de pagamento sorrateiras envolvendo a configuração de contas comerciais da UPI

January 17, 2024

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.

Agende uma demonstração

Real time Threat Intelligence Data

More information and context about Underground Chatter

On-Demand Research Services

Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.

Trusted by 400+ Top organisations

Get started

Learn more