Malware-Kampagne nutzt Sicherheitslücke in Microsoft aus, um Cobalt Strike einzusetzen

Cisco Talos-Forscher haben eine Social-Engineering-Malware-Kampagne aufgedeckt, die eine Schwachstelle in Microsoft Office zur Remotecode-Ausführung ausnutzt, um einen Cobalt Strike-Beacon auf die Opfer anzuwenden.

Bei der vom Angreifer ausgenutzten Sicherheitslücke handelt es sich um CVE-2017-0199, eine Sicherheitslücke bei der Remote-Ausführung in Microsoft Office, die es einem Angreifer ermöglichen könnte, die Kontrolle über ein betroffenes System zu übernehmen.

Als Einstiegsvektor verwendet der Angreifer eine Phishing-E-Mail mit einem Microsoft-Anhang, der ein Stellenangebot für die US-Regierung und die Public Service Association, eine in Neuseeland ansässige Gewerkschaft, enthält.

"Die entdeckte Nutzlast ist eine geleakte Version eines Cobalt Strike Beacons. Die Beacon-Konfiguration enthält Befehle zur gezielten Prozessinjektion beliebiger Binärdateien und ist mit einer High-Reputation-Domain konfiguriert, die die Umleitungstechnik zur Maskierung des Beacon-Verkehrs zeigt", erklärten die Cisco Talos-Forscher Chetan Raghuprasad und Vanja Svajcer in einer neuen Analyse, die am Mittwoch veröffentlicht wurde.

Die Forscher erklärten, dass Cobalt Strike nicht das einzige Malware-Muster ist, das bei dem Angriff verwendet wurde. Sie beobachteten auch die Verwendung der ausführbaren Dateien Redline Stealer und Amadey Botnet als Nutzlast.

Der Angriff wurde als "hochgradig modularisiert" beschrieben und gilt als einzigartig für das Hosten bösartiger Inhalte, da er Bitbucket-Repositories nutzt, die als Ausgangspunkt für das Herunterladen einer ausführbaren Windows-Datei dienen, die für die Bereitstellung des Cobalt Strike DLL-Beacons verantwortlich ist.

Das Bitbucket-Repository dient als Kanal zur Bereitstellung obskurer VB- und PowerShell-Downloader-Skripte, die den Beacon auf einem anderen Bitbucket-Konto installieren.

"Diese Kampagne ist ein typisches Beispiel für einen Bedrohungsakteur, der die Technik der Erstellung und Ausführung bösartiger Skripte im Systemspeicher des Opfers verwendet. Unternehmen sollten die Cobalt Strike Beacons ständig im Auge behalten und mehrschichtige Verteidigungsfunktionen implementieren, um die Versuche der Angreifer in der frühen Phase der Infektionskette zu vereiteln", so die Forscher.

Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.

Zusammenfassung

Artikel Name

Malware-Kampagne nutzt Sicherheitslücke in Microsoft aus, um Cobalt Strike einzusetzen

Beschreibung

Talos-Forscher von Cisco haben eine Social-Engineering-Malware-Kampagne aufgedeckt, die eine Schwachstelle in Microsoft Office zur Remotecodeausführung ausnutzt.

Autor

Obanla Opeyemi

Name des Herausgebers

Tuxcare

Logo des Herausgebers