حملات جدید فیشینگ دستگاه ها را با Cobalt Strike آلوده میکند.

حملات جدید فیشینگ دستگاه ها را با Cobalt Strike آلوده میکند.

محققان امنیتی متوجه یک کمپین آلوده اسپم شده اند که بدافزار ‘Manabunchus’ را منتقل میکند تا بر روی دستگاه های آسیب پذیر سیگنال های Cobalt Strike را دراپ کند.

محققان امنیتی متوجه یک کمپین آلوده اسپم شده اند که بدافزار ‘Manabunchus’ را منتقل میکند تا بر روی دستگاه های آسیب پذیر سیگنال های Cobalt Strike  را دراپ کند.
Cobalt Strike یک سری ابزار تست نفوذ هستند که به صورت مداوم توسط هکر ها برای حرکات جانبی استفاده و جهت دراپ کردن پیلود های اضافی هستند.
Matanbuchus یک پروژه "بدافزار به عنوان سرویس" (MaaS) است که ابتدا در فوریه 2021 در تبلیغات بر روی دارک وب برای 2500 دلار برای فروش گذاشته شد که میتواند فایل اجرایی را مستقیم بر روی مموری اجرا کند.
Unit 42 از Palo Alto Network این موضوع را در ژوئن 2021 آنالیز کرده و و بخش های وسیعی از زیر ساخت عملیاتی را مپ کرده بود. ویژگی های این بدافزار شامل اجرای دستور های شخصی سازی شده PowerShell، اهرم کردن فایل های اجرایی standalone برای لود کردن dll های پیلود و مدیریت پیوستگی از طریق تسک های تقویم بندی شده ی اضافه است.
کمپین فعال
محقق تهدید Brad Duncan یک نمونه ی ساده از این بدافزار بدست آورده است و آن را در یک محیط آزمایشگاهی بررسی کرده است.
کمپین اسپم بدافزار در حال استفاده، در حال حاضر تظاهر میکند که به ایمیل های قبلی مکالمات پاسخ میدهد، پس آن از ‘Re:’ در موضوع ایمیل ها استفاده میکنند.
ایمیل ها شامل یک فایل اتچ شده ZIP هستند که شامل یک فایل HTML هستند که یک فایل جدید ZIP ایجاد میکند. این در نهایت یک پکیج MSI استخراج میکند که یک امضای دیجیتالی معتبر که با یک certificate ی که توسط DigiCert برای “Westeast Tech Consulting” امضا شده است.

بدافزار matanbuchus

اجرای فایل MSI تظاهرا به بروزرسانی کاتالوگ فونت ادوبی میکند که با پیام ارور مواجه میشود، تا حواس کاربران را از اتفاقی که در پس زمینه اتفاق می افتد پرت کند.
در پس زمینه، دو پیلود DLL Matanbuchus ( "main.dll" ) در دو مکان متفاوت دراپ میشوند، یک تسک زمان بندی شده نیز ایجاد میشود تا پیوستگی را در ریبوت سیستم حفظ کند، و ارتباطات با سرور command and control (C2) برقرار شود.

بدافزار matanbuchus

در نهایت، Matanbuchus پیلود های Cobalt Strike را از سرور C2 لود میکند، مسیر را برای اکسپلویت های احتمالی باز میکند.

matanbuchus

Cobalt Srike به عنوان مرحله ی دوم پیلود در کمپین Matanbuchus ابتدا توسط DCSO گزارش شد، یک شرکت امنیتی آلمانی، در 23 می 2022 ( 2 خرداد 1401 ). آن ها همچنین متوجه شدند که Qakbot همچنین در برخی از موارد منتقل شده است.
جالب است که در کمپین، امضای دیجیتالی که برای MSI استفاده شد از طرف DigiCert به صورت معتبر برای “Advance Access Service LTD” داده شده بود.

matanbuchus

دشبورد لو رفته matanbuchus

منبع : www.bleepingcomputer.com