🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Tin tặc tạo ra mã khai thác Windows giả mạo để lây nhiễm Cobalt Strike

26/05/2022

Một tác nhân độc hại đã nhắm mục tiêu vào các nhà nghiên cứu bảo mật bằng mã khai thác (PoC) Windows giả mạo để lây nhiễm backdoor Cobalt Strike.

Kẻ đứng sau cuộc tấn công lợi dụng các lỗ hổng thực thi mã từ xa [đã được vá] có định danh là CVE-2022-24500 và CVE-2022-26809 trong Windows.

Khi Microsoft phát hành bản vá cho một lỗ hổng, các nhà nghiên cứu bảo mật thường phân tích bản vá và đưa ra mã khai thác (nếu có) cho lỗ hổng trên GitHub.

Các PoC được các nhà nghiên cứu dùng để kiểm tra khả năng phòng thủ của họ và thúc giục các quản trị viên nhanh chóng cài đặt các bản cập nhật bảo mật.

Ngược lại, các tác nhân đe dọa thường sử dụng các khai thác này để tiến hành các cuộc tấn công hoặc lây lan mã độc.

PoC giả mạo nhắm mục tiêu vào cộng đồng infosec

Tuần trước, một tài khoản GitHub có tên 'rkxxz' đã công khai hai mã khai thác cho các lỗ hổng Windows CVE-2022-24500 và CVE-2022-26809 (các mã khai thác và tài khoản này hiện đã bị xóa bỏ).

Như thường lệ, sau khi PoC được công khai, tin tức sẽ nhanh chóng được lan truyền trên Twitter.

Những mã khai thác này nhanh chóng bị phát hiện là giả mạo và được dùng để triển khai Cobalt Strike trên các thiết bị mục tiêu.

Cobalt Strike là một công cụ mà các tác nhân độc hại thường sử dụng để tấn công và xâm phạm một tổ chức.

Trong một báo cáo của công ty bảo mật Cyble, các nhà nghiên cứu đã phân tích PoC và phát hiện ra nó là một ứng dụng .NET giả vờ khai thác một địa chỉ IP nhưng thực chất dùng để lây nhiễm backdoor cho người dùng.

Đây không phải lần đầu tiên các tác nhân đe dọa nhắm mục tiêu vào các nhà nghiên cứu bảo mật.

Vào tháng 1 năm 2021, nhóm tấn công Lazarus của Triều Tiên đã nhắm mục tiêu vào các nhà nghiên cứu lỗ hổng bảo mật thông qua các tài khoản mạng xã hội và lỗ hổng zero-day trong trình duyệt.

Tháng 3 năm 2021, các tin tặc Triều Tiên lại nhắm mục tiêu vào cộng đồng infosec bằng cách tạo ra một công ty bảo mật giả mạo có tên là SecuriElite.

Vào tháng 11, Lazarus đã tiến hành một chiến dịch khác sử dụng phiên bản trojan của ứng dụng reverse IDA Pro đã cài đặt trojan truy cập từ xa NukeSped.

Bằng cách nhắm mục tiêu vào cộng đồng infosec, các tác nhân đe dọa không chỉ có quyền truy cập vào các nghiên cứu lỗ hổng của các nhà nghiên cứu mà còn có khả năng truy cập vào mạng của một công ty bảo mật.

Các công ty bảo mật thường nắm giữ thông tin nhạy cảm của khách hàng, như đánh giá lỗ hổng, thông tin xác thực truy cập từ xa hoặc lỗ hổng zero-day không được tiết lộ, các thông tin này rất có giá trị đối với tác nhân đe dọa.

Nguồn: bleepingcomputer.com.

scrolltop