Кибератаки 2023-2024: Эффективная кампания с Cobalt Strike
Источник: news.sophos.com
С конца 2023 года по первую половину 2024 года была выявлена новая кампания кибератак, нацеленная на множество клиентов в различных регионах. Первоначально атаки сосредоточились на Дальнем Востоке, но вскоре переместились в Швецию, где злоумышленники активно использовали вредоносное ПО Cobalt Strike для проведения последующих атак.
Методы атаки
Анализ атак показывает, что данная кампания, вероятно, была осуществлена одним хакером, что очевидно из сходства методов и полезной нагрузки.
Ключевым элементом атак стало использование Minhook DLL, минималистичной библиотеки для управления вызовами Windows API. Первоначальные векторы атаки заключались в следующем:
- Два сценария дополнительной загрузки на одном сайте клиента были осуществлены в течение одного дня.
- Позже был выявлен третий сценарий на другом сайте клиента.
- Все сценарии использовали Cobalt Strike в качестве конечной полезной нагрузки.
Инциденты продемонстрировали, что зашифрованные полезные данные подключались через идентичные имена файлов, что указывает на скоординированные действия злоумышленников.
Ретроактивное разбирательство и новые улики
Ретроактивное расследование выявило аналогичные попытки атак в Китае и на Тайване. Признаки данной активности начали проявляться уже 1 декабря 2023 года. Телеметрические данные показали:
- Первая заметная побочная загрузка была вызвана потенциально законной установкой приложения для чата, связанного с тайваньской компанией Letstalk Technology Limited.
- В результате одной из попыток восстановления был обнаружен вредоносный загрузчик, который извлекал полезную информацию из определённых файлов данных.
- Эта вредоносная программа использовала функции из библиотеки DLL Minhook, извлеченной из ресурсов установки.
Стратегия хакеров и легитимность атак
Использование скомпрометированной цифровой подписи, связанной с корейской компанией-разработчиком игр, позволило вредоносным компонентам сохранить видимость легитимности, несмотря на истекший срок действия подписи. Чистый загрузчик был получен из законного каталога Windows, что указывает на необычную стратегию хакеров в отношении дополнительной загрузки.
Дополнительно был обнаружен образец вредоносного ПО, нацеленный на шведских жертв, который также использовал соглашения об именах, аналогичные предыдущим атакам. В этом случае компонент Cobalt Strike beacon устанавливал соединения с сервером C2, используя указанные URL-адреса.
Методическая сборка инфраструктуры атаки
Во время выполнения вредоносного загрузчика обрабатывались дампы памяти, содержащие как Cobalt Strike beacon, так и DLL Minhook. Эти компоненты устанавливались, создавая перехватчики для определенных функций API, тем самым подразумевая методичную сборку инфраструктуры атаки. Успешное выполнение перехватов облегчало распаковку и активацию маяка Cobalt Strike.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
