Злоумышленник атаковал ИБ-специалистов с помощью Cobalt-Strike

Исследователи из компании Cyble обнаружили вредоносную кампанию на ИБ-сообщество. В своем сообщении специалист поделился поддельным кодом Proof of Concept (PoC) для уязвимости удаленного выполнения кода RPC Runtime Library Remote Code Execution CVE-2022-26809 с оценкой CVSS 9.8. Вредонос, замаскированный под поддельный PoC-код, был доступен на GitHub.

«В ходе дальнейшего расследования мы обнаружили, что это вредоносное ПО, замаскированное под эксплойт. Также мы обнаружили вредонос, который является поддельной PoC CVE-2022-24500 . Оба вредоносных образца были доступны на GitHub. Интересно, что оба репозитория принадлежат одному и тому же профилю, что указывает на возможность злоумышленника проводить кибератаку на ИБ-сообщество», - сообщила Cyble.

Согласно анализу вредоносного ПО, эксплойт представляет из себя двоичный файл .Net, упакованный бесплатным open-source средством защиты для .NET-приложений ConfuserEX . Вредоносный код не включает в себя эксплойты для уязвимостей в фейковом PoC, а только выводит поддельное сообщение о попытке использовать уязвимости и запускает шелл-код. Вредоносная программа выполняет команду PowerShell с помощью cmd.exe для доставки фактической полезной нагрузки Cobalt-Strike Beacon. Затем злоумышленник может использовать Cobalt-Strike Beacon для дополнительных полезных нагрузок и выполнения боковых перемещений.

«Обычно ИБ-специалисты используют эксплойты для проверки уязвимостей. Следовательно, данное вредоносное ПО нацелено только на людей из ИБ-сообщества. Поэтому для членов сообщества кибербезопасности следует проверять достоверность источников перед загрузкой PoC» - заключила Cyble.