ClickCease Cobalt Strike-Angriff: Bedrohungsakteure nutzen Phishing-E-Mails aus - TuxCare

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Cobalt Strike-Angriff: Bedrohungsakteure nutzen Phishing-E-Mails

von Wajahat Raja

9. September 2024. TuxCare-Expertenteam

In der Cybercrime-Landschaft wurden chinesische Nutzer mit einem neuen Cobalt Strike-Angriff ins Visier genommen. Unbekannte Bedrohungsakteure, die hinter dieser Kampagne stehen, nutzen Phishing-E-Mails, um Windows-Systeme mit der Nutzlast zu infizieren. In diesem Artikel werden wir herausfinden, wie ein solcher Angriff abläuft, und auf die Details des Angriffsarsenals eingehen. Fangen wir an!

Neue Cobalt Strike Attack Details

Die neue Cobalt Strike-Angriffskampagne hat den Codenamen SLOW#TEMPEST. Bislang wurde sie noch keinem bekannten Bedrohungsakteur zugeordnet. Die verfügbaren Details besagen, dass der Cobalt Strike-Angriff mit bösartigen ZIP-Dateien beginnt. Wenn diese Dateien entpackt werden, setzen sie die Infektionskette in Gang.

Berichten zufolge löst dies die Bereitstellung des Post-Exploitation-Toolkits auf einem gezielten und kompromittierten System aus. Das Angriffsarsenal besteht auch aus einer Windows-Verknüpfungsdatei (LNK). Es ist wichtig zu wissen, dass sich diese Datei als Microsoft Word-Datei mit dem Namen "违规远程控制软件人员名单.docx.lnk" tarnt . Der Dateiname bedeutet ins Englische übersetzt "Liste der Personen, die gegen die Vorschriften für Fernsteuerungssoftware verstoßen haben " .

Forscher haben darauf hingewiesen, dass es sich bei den Zielen des neuen Cobalt Strike-Angriffs um chinesische Regierungs- oder Unternehmensbereiche handeln könnte. Diese Annahme ergibt sich aus der in den Köderdateien verwendeten Sprache und der Tatsache, dass sich Personen in diesen beiden Sektoren wahrscheinlich an die "Fernsteuerungssoftware-Vorschriften" halten .

Phishing-Angriffe auf das Windows-System

Im Rahmen des Phishing-Angriffs dient die LNK-Datei als Kanal für die Installation von "LicensingUI.exe", einer legitimen Windows-Binärdatei, die das DLL-Side-Loading nutzt. Die Datei führt dann eine betrügerische DLL namens "dui70.dll" aus und hilft den Bedrohungsakteuren, während des gesamten Angriffs die Persistenz und Unauffälligkeit zu wahren.

Die DLL-Datei ist auch für die Herstellung des Kontakts mit einem entfernten Server verantwortlich. Sobald der Kontakt hergestellt ist, können die Hacker den Fernzugriff für Aktivitäten wie die Bereitstellung zusätzlicher Nutzlasten und die Entwicklung von Proxy-Verbindungen nutzen. Der neue Cobalt Strike-Angriff ist auch dafür bekannt, dass er eine geplante Aufgabe zur Ausführung von "lld.exe" einrichtet.

Dabei handelt es sich um eine bösartige Datei, die einen beliebigen Shellcode im Speicher ausführen kann und nur einen minimalen Fußabdruck auf der Festplatte hinterlässt. Die Forscher haben weitere Einblicke in die Angriffe gegeben und erklärt, dass:

"Die Angreifer konnten sich außerdem in kompromittierten Systemen verstecken, indem sie die Berechtigungen des integrierten Gastbenutzerkontos manuell erhöhten.

Dieses normalerweise deaktivierte und wenig privilegierte Konto wurde in einen leistungsstarken Zugangspunkt umgewandelt, indem es der kritischen administrativen Gruppe hinzugefügt und mit einem neuen Passwort versehen wurde. 

Diese Hintertür ermöglicht es ihnen, unbemerkt auf das System zuzugreifen, da das Gastkonto oft nicht so genau überwacht wird wie andere Benutzerkonten.

Erweiterte Post-Exploitation-Tools

Nachdem ein System kompromittiert wurde, bewegt sich der Cobalt Strike-Bedrohungsakteur mithilfe des Remote-Desktop-Protokolls (RDP) lateral durch das Netzwerk. Die erforderlichen Anmeldeinformationen für alle seitlichen Bewegungen werden mit dem Mimikatz-Tool zur Passwortextraktion beschafft.

In der Post-Exploitation-Phase werden mehrere Enumeration-Befehle und das Tool BloodHound zur Erkundung des Active Directory eingesetzt. Als Kommentar zu dem Angriff haben die Forscher erklärt, dass:

"Die Komplexität der Kampagne zeigt sich in ihrem methodischen Ansatz bei der anfänglichen Kompromittierung, der Hartnäckigkeit, der Ausweitung von Privilegien und der seitlichen Bewegung im Netzwerk.

Schlussfolgerung

Der Angriff SLOW#TEMPEST, Cobalt Strike, zeigt die sich entwickelnde Taktik von Bedrohungsakteuren, die Phishing-E-Mails und fortschrittliche Post-Exploitation-Tools nutzen. Durch die Verschleierung bösartiger Dateien, die Erhöhung von Berechtigungen und die Aufrechterhaltung der Heimlichkeit demonstrieren die Angreifer einen methodischen Ansatz zur Infiltration von Zielsystemen, der die Notwendigkeit erhöhter Wachsamkeit und robuster Cybersicherheitsmaßnahmen gegen solche ausgefeilten Bedrohungen unterstreicht.

Die Quellen für diesen Beitrag sind Artikel in The Hacker News und TechNadu.

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Werden Sie ein TuxCare-Gastautor

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter