Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Una campaña de malware aprovecha una vulnerabilidad de Microsoft para desplegar Cobalt Strike
Obanla Opeyemi
12 de octubre de 2022 - Equipo de expertos TuxCare
Los investigadores de Cisco Talos han descubierto una campaña de malware de ingeniería social que aprovecha un fallo de ejecución remota de código en Microsoft Office para aplicar una baliza Cobalt Strike en las víctimas comprometidas.
La vulnerabilidad explotada por el atacante es CVE-2017-0199 que es una vulnerabilidad de ejecución remota en Microsoft Office que podría permitir a un atacante tomar el control de un sistema afectado.
El vector de entrada utilizado por el atacante es un correo electrónico de phishing que contiene un archivo adjunto de Microsoft con una oferta de empleo para puestos en el gobierno de Estados Unidos y en la Asociación de Servicios Públicos, un sindicato con sede en Nueva Zelanda.
"La carga útil descubierta es una versión filtrada de una baliza Cobalt Strike. La configuración de la baliza contiene comandos para realizar la inyección de procesos dirigidos de binarios arbitrarios y tiene configurado un dominio de alta reputación, exhibiendo la técnica de redirección para enmascarar el tráfico de la baliza", explicaron los investigadores de Cisco Talos Chetan Raghuprasad y Vanja Svajcer en un nuevo análisis publicado el miércoles.
Los investigadores explicaron que Cobalt Strike no es la única muestra de malware utilizada durante el ataque. También observaron el uso de los ejecutables Redline Stealer y Amadey botnet como cargas útiles.
El ataque ha sido descrito como "altamente modularizado" y se considera único para alojar contenido malicioso debido a su uso de repositorios Bitbucket, que sirven como punto de partida para descargar un ejecutable de Windows responsable de desplegar la baliza DLL Cobalt Strike.
El repositorio de Bitbucket actúa como un canal para entregar oscuros scripts descargadores de VB y PowerShell que instalan la baliza en otra cuenta de Bitbucket.
"Esta campaña es un ejemplo típico de un actor de amenazas que utiliza la técnica de generar y ejecutar scripts maliciosos en la memoria del sistema de la víctima. Las organizaciones deben estar constantemente atentas a las balizas Cobalt Strike e implementar capacidades de defensa en capas para frustrar los intentos del atacante en la etapa inicial de la cadena de infección del ataque", señalaron los investigadores.
Las fuentes de este artículo incluyen un artículo en TheHackerNews.
