Support technique
Documentation
Connexion
Nous contacter
Une campagne malveillante exploite une vulnérabilité de Microsoft pour déployer Cobalt Strike.
Obanla Opeyemi
12 octobre 2022 - L'équipe d'experts de TuxCare
Les chercheurs de Cisco Talos ont découvert une campagne de malware d'ingénierie sociale qui exploite une faille d'exécution de code à distance dans Microsoft Office pour appliquer une balise Cobalt Strike sur les victimes compromises.
La vulnérabilité exploitée par l'attaquant est CVE-2017-0199 qui est une vulnérabilité d'exécution à distance dans Microsoft Office qui pourrait permettre à un attaquant de prendre le contrôle d'un système affecté.
Le vecteur d'entrée utilisé par l'attaquant est un courriel de phishing contenant une pièce jointe Microsoft avec une offre d'emploi pour des postes au sein du gouvernement américain et de la Public Service Association, un syndicat basé en Nouvelle-Zélande.
"La charge utile découverte est une version divulguée d'une balise Cobalt Strike. La configuration de la balise contient des commandes permettant d'injecter des processus ciblés de binaires arbitraires et possède un domaine de haute réputation configuré, montrant la technique de redirection pour masquer le trafic de la balise", expliquent les chercheurs Chetan Raghuprasad et Vanja Svajcer de Cisco Talos dans une nouvelle analyse publiée mercredi.
Les chercheurs expliquent que Cobalt Strike n'est pas le seul échantillon de malware utilisé pendant l'attaque. Ils ont également observé l'utilisation des exécutables du botnet Redline Stealer et Amadey comme charges utiles.
L'attaque a été décrite comme "hautement modulaire" et est considérée comme unique pour l'hébergement de contenu malveillant en raison de son utilisation des dépôts Bitbucket, qui servent de point de départ pour le téléchargement d'un exécutable Windows responsable du déploiement de la balise DLL Cobalt Strike.
Le dépôt Bitbucket sert de canal pour délivrer des scripts de téléchargement VB et PowerShell obscurs qui installent la balise sur un autre compte Bitbucket.
"Cette campagne est un exemple typique d'un acteur de la menace utilisant la technique de génération et d'exécution de scripts malveillants dans la mémoire système de la victime. Les organisations doivent être constamment vigilantes sur les balises Cobalt Strike et mettre en œuvre des capacités de défense en couches pour contrecarrer les tentatives de l'attaquant au stade précoce de la chaîne d'infection de l'attaque", ont déclaré les chercheurs.
Les sources de cet article comprennent un article de TheHackerNews.
