Một tác nhân độc hại đã nhắm mục tiêu vào các nhà nghiên cứu bảo mật bằng mã khai thác (PoC) Windows giả mạo để lây nhiễm backdoor Cobalt Strike.
Kẻ đứng sau cuộc tấn công lợi dụng các lỗ hổng thực thi mã từ xa [đã được vá] có định danh là CVE-2022-24500 và CVE-2022-26809 trong Windows.
Khi Microsoft phát hành bản vá cho một lỗ hổng, các nhà nghiên cứu bảo mật thường phân tích bản vá và đưa ra mã khai thác (nếu có) cho lỗ hổng trên GitHub.
Các PoC được các nhà nghiên cứu dùng để kiểm tra khả năng phòng thủ của họ và thúc giục các quản trị viên nhanh chóng cài đặt các bản cập nhật bảo mật.
Ngược lại, các tác nhân đe dọa thường sử dụng các khai thác này để tiến hành các cuộc tấn công hoặc lây lan mã độc.
PoC giả mạo nhắm mục tiêu vào cộng đồng infosec
Tuần trước, một tài khoản GitHub có tên 'rkxxz' đã công khai hai mã khai thác cho các lỗ hổng Windows CVE-2022-24500 và CVE-2022-26809 (các mã khai thác và tài khoản này hiện đã bị xóa bỏ).
Như thường lệ, sau khi PoC được công khai, tin tức sẽ nhanh chóng được lan truyền trên Twitter.
Những mã khai thác này nhanh chóng bị phát hiện là giả mạo và được dùng để triển khai Cobalt Strike trên các thiết bị mục tiêu.
Cobalt Strike là một công cụ mà các tác nhân độc hại thường sử dụng để tấn công và xâm phạm một tổ chức.
Trong một báo cáo của công ty bảo mật Cyble, các nhà nghiên cứu đã phân tích PoC và phát hiện ra nó là một ứng dụng .NET giả vờ khai thác một địa chỉ IP nhưng thực chất dùng để lây nhiễm backdoor cho người dùng.
Đây không phải lần đầu tiên các tác nhân đe dọa nhắm mục tiêu vào các nhà nghiên cứu bảo mật.
Vào tháng 1 năm 2021, nhóm tấn công Lazarus của Triều Tiên đã nhắm mục tiêu vào các nhà nghiên cứu lỗ hổng bảo mật thông qua các tài khoản mạng xã hội và lỗ hổng zero-day trong trình duyệt.
Tháng 3 năm 2021, các tin tặc Triều Tiên lại nhắm mục tiêu vào cộng đồng infosec bằng cách tạo ra một công ty bảo mật giả mạo có tên là SecuriElite.
Vào tháng 11, Lazarus đã tiến hành một chiến dịch khác sử dụng phiên bản trojan của ứng dụng reverse IDA Pro đã cài đặt trojan truy cập từ xa NukeSped.
Bằng cách nhắm mục tiêu vào cộng đồng infosec, các tác nhân đe dọa không chỉ có quyền truy cập vào các nghiên cứu lỗ hổng của các nhà nghiên cứu mà còn có khả năng truy cập vào mạng của một công ty bảo mật.
Các công ty bảo mật thường nắm giữ thông tin nhạy cảm của khách hàng, như đánh giá lỗ hổng, thông tin xác thực truy cập từ xa hoặc lỗ hổng zero-day không được tiết lộ, các thông tin này rất có giá trị đối với tác nhân đe dọa.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Phát hiện một backdoor trong plugin WordPress School Management Pro, có thể cho phép kẻ tấn công kiểm soát hoàn toàn các trang web bị ảnh hưởng.
Tín nhiệm mạng | Các thí sinh khác đã giành được 160.000 đô la sau khi khai thác các zero-day trong Windows 11 ba lần và Ubuntu Desktop một lần trong ngày cuối của cuộc thi hack Pwn2Own Vancouver 2022
Tín nhiệm mạng | Tấn công relay attack mới nhắm vào triển khai Bluetooth Low Energy có thể cho phép tội phạm mạng mở khóa và điều khiển ô tô từ xa cũng như phá các khóa thông minh.
Tín nhiệm mạng | Trong ngày đầu tiên của Pwn2Own Vancouver 2022, các thí sinh đã giành được 800.000 đô sau khi khai thác thành công 16 lỗ hổng zero-day trong nhiều sản phẩm, bao gồm Windows 11 và ứng dụng Team của Microsoft
Tín nhiệm mạng | Microsoft phát hiện một chiến dịch độc hại nhắm mục tiêu vào máy chủ SQL sử dụng một tệp nhị phân PowerShell để duy trì truy cập trên các hệ thống bị xâm phạm.
Tín nhiệm mạng | Biến thể mới của botnet srv đang khai thác các lỗ hổng bảo mật trong các ứng dụng web và cơ sở dữ liệu để cài đặt các công cụ khai thác tiền điện tử trên cả hệ thống Windows và Linux.