Eine Social-Engineering-Kampagne, die mit Job-Themen ködert, nutzt eine Jahre alte Schwachstelle zur Remote-Code-Ausführung in Einkaufsmodus Microsoft Office, um Cobalt Strike Beacons auf kompromittierten Hosts einzusetzen.
"Bei der entdeckten Nutzlast handelt es sich um eine geleakte Version eines Cobalt Strike Beacons", so die Cisco Talos-Forscher Chetan Raghuprasad und Vanja Svajcer in einer am Mittwoch veröffentlichten Analyse.
"Die Beacon-Konfiguration enthält Befehle zur gezielten Prozessinjektion beliebiger Binärdateien und hat eine Domäne mit hoher Reputation konfiguriert, die die Umleitungstechnik zur Verschleierung des Beacon-Verkehrs zeigt."
Die bösartige Aktivität, die im August 2022 entdeckt wurde, versucht, die Sicherheitslücke auszunutzen CVE-2017-0199ein Problem der entfernten Codeausführung in Einkaufsmodus Microsoft Office, das es einem Angreifer ermöglicht, die Steuerung des Einkaufsmodus eines betroffenen Systems.
Der Einstiegsvektor für den Angriff ist eine Phishing-E-Mail, die eine Einkaufsmodus Microsoft Word Attachment, das mit Job-Themen für Stellen in der US-Regierung wirbt, und Public Service Association, eine Gewerkschaft mit Sitz in Neuseeland.
Cobalt Strike Beacons sind bei weitem nicht die einzigen Malware-Muster, die eingesetzt werden, denn Cisco Talos hat nach eigenen Angaben auch die Verwendung von Redline Stealer und Amadey-Botnetz ausführbare Dateien als Nutzlast am anderen Ende der Angriffskette.
Das Cybersicherheitsunternehmen bezeichnete die Angriffsmethode als "hochgradig modularisiert" und sagte, dass die Aktivität auch durch die Verwendung von Bitbucket-Repositories zum Hosten bösartiger Inhalte auffiel, die als Ausgangspunkt für den Download einer ausführbaren Windows-Datei dienen, die für die Bereitstellung des Cobalt Strike DLL-Beacons verantwortlich ist.
In einer alternativen Angriffssequenz fungiert das Bitbucket-Repository als Kanal, um verschleierte VB- und PowerShell-Downloader-Skripte zur Installation des Beacons zu liefern, der auf einem anderen Bitbucket-Konto gehostet wird.
"Diese Kampagne ist ein typisches Beispiel für einen Bedrohungsakteur, der die Technik der Erstellung und Ausführung bösartiger Skripte im Systemspeicher des Opfers verwendet", so die Forscher.
"Unternehmen sollten die Cobalt Strike Beacons ständig im Auge behalten und mehrschichtige Verteidigungsfunktionen implementieren, um die Versuche der Angreifer in der frühen Phase der Infektionskette zu vereiteln."
https://thehackernews.com/2022/09/new-malware-campaign-targeting-job.html