Una campaña de malware aprovecha una vulnerabilidad de Microsoft para desplegar Cobalt Strike

Los investigadores de Cisco Talos han descubierto una campaña de malware de ingeniería social que aprovecha un fallo de ejecución remota de código en Microsoft Office para aplicar una baliza Cobalt Strike en las víctimas comprometidas.

La vulnerabilidad explotada por el atacante es CVE-2017-0199 que es una vulnerabilidad de ejecución remota en Microsoft Office que podría permitir a un atacante tomar el control de un sistema afectado.

El vector de entrada utilizado por el atacante es un correo electrónico de phishing que contiene un archivo adjunto de Microsoft con una oferta de empleo para puestos en el gobierno de Estados Unidos y en la Asociación de Servicios Públicos, un sindicato con sede en Nueva Zelanda.

"La carga útil descubierta es una versión filtrada de una baliza Cobalt Strike. La configuración de la baliza contiene comandos para realizar la inyección de procesos dirigidos de binarios arbitrarios y tiene configurado un dominio de alta reputación, exhibiendo la técnica de redirección para enmascarar el tráfico de la baliza", explicaron los investigadores de Cisco Talos Chetan Raghuprasad y Vanja Svajcer en un nuevo análisis publicado el miércoles.

Los investigadores explicaron que Cobalt Strike no es la única muestra de malware utilizada durante el ataque. También observaron el uso de los ejecutables Redline Stealer y Amadey botnet como cargas útiles.

El ataque ha sido descrito como "altamente modularizado" y se considera único para alojar contenido malicioso debido a su uso de repositorios Bitbucket, que sirven como punto de partida para descargar un ejecutable de Windows responsable de desplegar la baliza DLL Cobalt Strike.

El repositorio de Bitbucket actúa como un canal para entregar oscuros scripts descargadores de VB y PowerShell que instalan la baliza en otra cuenta de Bitbucket.

"Esta campaña es un ejemplo típico de un actor de amenazas que utiliza la técnica de generar y ejecutar scripts maliciosos en la memoria del sistema de la víctima. Las organizaciones deben estar constantemente atentas a las balizas Cobalt Strike e implementar capacidades de defensa en capas para frustrar los intentos del atacante en la etapa inicial de la cadena de infección del ataque", señalaron los investigadores.

Las fuentes de este artículo incluyen un artículo en TheHackerNews.

Resumen

Nombre del artículo

Una campaña de malware aprovecha una vulnerabilidad de Microsoft para desplegar Cobalt Strike

Descripción

Los investigadores de Cisco Talos han descubierto una campaña de malware de ingeniería social que aprovecha un fallo de ejecución remota de código en Microsoft Office.

Autor

Obanla Opeyemi

Nombre del editor

Tuxcare

Logotipo de la editorial