惡意軟體活動利用微軟漏洞部署Cobalt Strike。

思科Talos研究人員發現了一個社會工程惡意軟體活動，該活動利用Microsoft Office中的遠程代碼執行缺陷對受損的受害者應用Cobalt Strike信標。

攻擊者利用的漏洞是CVE-2017-0199，這是Microsoft Office中的一個遠端執行漏洞，可能允許攻擊者控制受影響的系統。

攻擊者使用的入口載體是一封網路釣魚電子郵件，其中包含 Microsoft 附件，其中包含美國政府和公共服務協會（一家總部位於紐西蘭的工會）職位的工作機會。

“發現的有效載荷是Cobalt Strike信標的洩漏版本。信標配置包含執行任意二進位檔的目標進程注入的命令，並配置了高信譽域，展示了重定向技術來偽裝信標的流量，“思科Talos研究人員Chetan Raghuprasad和Vanja Svajcer在週三發佈的新分析中解釋道。

研究人員解釋說，Cobalt Strike並不是攻擊期間使用的唯一惡意軟體樣本。他們還觀察到使用Redline Stealer和Amadey殭屍網路可執行文件作為有效載荷。

該攻擊被描述為「高度模組化」，並且被認為是託管惡意內容的獨特之處，因為它使用了Bitbucket存儲庫，該存儲庫是下載負責部署Cobalt Strike DLL信標的Windows可執行檔的起點。

Bitbucket儲存庫充當傳遞晦澀的VB和PowerShell下載器腳本的通道，這些腳本將信標安裝在另一個Bitbucket帳戶上。

“該活動是威脅行為者使用在受害者的系統記憶體中生成和執行惡意腳本技術的典型示例。組織應該時刻警惕Cobalt Strike信標，並實施分層防禦能力，以阻止攻擊者在攻擊感染鏈早期階段的企圖，“研究人員說。

這篇文章的來源包括 TheHackerNews上的一篇文章。

總結

文章名稱

惡意軟體活動利用微軟漏洞部署Cobalt Strike。

描述

思科Talos研究人員發現了一個社會工程惡意軟體活動，該活動利用了Microsoft Office中的遠程代碼執行缺陷。

作者

奧班拉·奧佩耶米

發行者名稱

燕尾服

發行者徽標