🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais
Consultivo
Inteligência do adversárioAtores
Grupo CobaltStrike Group/CarbanakSistema direcionado
Infraestrutura WindowsSumário executivo
Os APTs realizam campanhas com uma segurança operacional muito alta. Como resultado, é entediante acompanhar suas atividades. Os pesquisadores de ameaças do CloudSEK detectaram padrões e mudanças interessantes na forma como esses atores estão operando atualmente.Grupos de ameaças proeminentes estão formando alianças com outros atores desse tipo para maximizar o impacto e o lucro. Existem novos vetores de ataque na natureza que são ilusórios por natureza, de modo a não indicar nenhuma solução de segurança implantada no ambiente de destino.Atividades
Associação FIN7-RYUK
Com base na inteligência que conseguimos reunir de várias fontes confiáveis, a infraestrutura de ataque FIN7 foi usada por um agente de ameaças para obter acesso inicial em uma rede corporativa que mais tarde abriria o caminho para um ataque de ransomware RYUK. As táticas, técnicas e procedimentos (TTPs) do agente da ameaça e o uso do CARBANAK RAT podem ser rastreados até o FIN7. Isso reforça nossa suposição sobre a colaboração entre o FIN7 e o WIZARD SPIDER/FIN6, apelidado de RYUK.Novos vetores de ataque explorados pelos APTs do CobaltStrike
Vetor A
Injeção de modelo com atraso na execução da carga útil e Cobalt C2 maleávelA equipe de inteligência de ameaças da CloudSEK observou um novo vetor de ataque empregado pelo ator para fugir da segurança lançando ataques de spear phishing contra alvos. Ele transforma em arma um documento do Word que é capaz de preparar o download do farol Cobalt por meio de injeção de modelo. O adversário emprega assemblies.NET para fornecer funções auxiliares que ajudam a alcançar os objetivos do ator.Anadia Waleed resume.doc259632b416b4b869fc6dc2d93d2b822dedf6526c0fa57723ad5c326a92d30621Modelo remoto: indexa.dotm7f1325c5a9266e649743ba714d02c819a8bfc7fd58d58e28a2b123ea260c0ce2URL do modelo remotohttps://yenile[.]asia/YOOMANHOWYOUDARE/C2time.updateeset [.] comEcmd.exeaeb4c3ff5b5a62f5b7fcb1f958885f76795ee792c12244cee7e36d9050cfb298dcaaffea947152eab6572ae61d7a3783e6137901662e6b5b5cad82bffb5d89955f49a47abc8e8d19bd5ed3625f28561ef584b1a226df09d45455fbf38c73a79ccf.ini0eba651e5d54bd5bb502327daef6979de7e3eb63ba518756f659f373aa5f4f8bCódigo de shell do Cf.ini após a descriptografia5143c5d8715cfc1e70e9db00184592c6cfbb4b9312ee02739d098cf6bc83eff9Código de shell baixado do CobaltStrike8cfd023f1aa40774a9b6ef3dbdfb75dea10eb7f601c308f8837920417f1ed702Carga útil do CobaltStrike7963ead16b6277e5b4fbd5d0b683593877d50a6ea7e64d2fc5def605eba1162aVetor B
Entrega de carga útil de cobalto codificada por imagemA equipe de inteligência de ameaças da CloudSEK observou a entrega incomum do farol codificado em uma imagem PNG, hospedada na plataforma de hospedagem de imagens Imgur. Quando as macros incorporadas são executadas, ele inicia um script Powershell que baixa ainda mais um segundo script Powershell que é então hospedado no Github. O script Powershell então baixa uma imagem (PNG) da imagem hospedada no Imgur, que por sua vez é uma carga útil codificada do CobaltStrike. Depois de baixar a imagem, o script Powershell decodifica a carga, o que, por sua vez, permite que o farol CobaltStrike se conecte à infraestrutura dos atacantes.Hash do arquivod1c7a7511bd09b53c651f8ccc43e9c36ba80265ba11164f88d6863f0832d8f81ed93ce9f84dbea3c070b8e03b82b95eb0944c44c6444d967820a890e8218b866Domínio: PortoMazzion1234-44451 [.] portmap [.] host:44451URLhxp: //mazzion1234-44451.portmap.host/fvroInteligência diversa sobre atores do CobaltStrike
Uma nova cepa de ransomware conhecida como CRING foi identificada usando o “farol de cobalto” em suas campanhas para realizar as fases de pós-exploração e movimento lateral da cadeia de morte.
Hashes
38217fa569df8f93434959c1c798b29d8d156725c6ce172b59a8d3c92434c3528d1650e5e02cd1934d21ce57f6f1af34d8415a528df5eefcb3ed6f1a79746f40Impacto
- Como o farol Cobalt é capaz de usar várias táticas, como métodos de injeção de processo, para escapar dos sistemas de segurança e permanecer no ambiente de destino sem ser detectado, até mesmo processos legítimos em execução no dispositivo de destino podem ser infectados.
- A exfiltração de dados e a comunicação C2 podem ser escondidas em um tráfego de rede de aparência inocente, utilizando recursos de C2 maleáveis.
- Um atacante pode integrar outras estruturas populares, como Metasploit/Empire e Mimikatz, para realizar fases pós-exploração, incluindo movimento lateral e aumento de privilégios.
- O agente da ameaça pode obter controle sobre o sistema operacional de destino, levando ao acesso ao disco com permissões de leitura/gravação/execução.
- Um invasor pode fazer alterações nos serviços e registros do sistema, que são elementos cruciais em qualquer sistema Windows, para permitir a persistência.
- O CobaltStrike pode preparar um servidor VNC para controlar a vítima remotamente.
- A integração com o PowerShell oferece ao atacante meios fáceis de obter mais táticas de reconhecimento e pós-exploração, como o carregamento de DLL, para usar programas personalizados criados pelos atacantes para promover o ataque.
- A autenticação de dois fatores pode ser contornada usando formulários de ataque como o Browser Pivot, para sequestrar a sessão autenticada de um usuário comprometido e imitar o alvo.
- Os recursos avançados de tunelamento incorporados ao Cobalt permitem que os invasores se conectem a outros segmentos da rede por meio de pontos de apoio comprometidos.
Mitigação
- As sandboxes devem emular tubos nomeados para detectar a presença do código de shell do Cobalt, pois o CobaltStrike oculta o código do shell sobre os tubos nomeados.
- Exame de tráfego de rede muito rigoroso para detectar a comunicação Cobalt C2. O desafio é que é um sistema C2 maleável que pode usar qualquer perfil de aplicativos legítimos ditado pelo operador para evitar a segurança e a detecção. A equipe de segurança deve se concentrar especificamente no tráfego HTTPS, pois é o canal padrão para comunicação C2.
- A análise de frequência do tráfego de rede ajuda a identificar o tráfego de bots a partir do tráfego gerado por humanos, pois o último não será uniforme.
- Se o cabeçalho HOST do tráfego não corresponder ao do endereço de destino, é provável que seja malicioso.
- Verifique o URI em relação a vários indicadores de comprometimento do URI do CobaltStrike para confirmar a presença do farol Cobalt.
- Aplique a regra de “privilégio mínimo” às contas de domínio para impedir que um usuário tenha mais privilégios do que precisa.
- Utilização eficaz dos sistemas SIEM para monitorar o tráfego de entrada e saída.
- Isolamento e segmentação adequados da rede para proteger ativos críticos.
- Os administradores de segurança precisam implementar programas eficazes de gerenciamento de vulnerabilidades para implementar patches e manter os sistemas atualizados.
- Informe os usuários sobre campanhas de phishing e ataques do lado do cliente para se salvarem de ataques de phishing.
