Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Злоумышленник атаковал ИБ-специалистов с помощью Cobalt-Strike

26/05/22

backdoor3-May-26-2022-09-06-24-70-AMИсследователи из компании Cyble обнаружили вредоносную кампанию на ИБ-сообщество. В своем сообщении специалист поделился поддельным кодом Proof of Concept (PoC) для уязвимости удаленного выполнения кода RPC Runtime Library Remote Code Execution CVE-2022-26809 с оценкой CVSS 9.8. Вредонос, замаскированный под поддельный PoC-код, был доступен на GitHub.

«В ходе дальнейшего расследования мы обнаружили, что это вредоносное ПО, замаскированное под эксплойт. Также мы обнаружили вредонос, который является поддельной PoC CVE-2022-24500 . Оба вредоносных образца были доступны на GitHub. Интересно, что оба репозитория принадлежат одному и тому же профилю, что указывает на возможность злоумышленника проводить кибератаку на ИБ-сообщество», - сообщила Cyble.

content-img(45)

Согласно анализу вредоносного ПО, эксплойт представляет из себя двоичный файл .Net, упакованный бесплатным open-source средством защиты для .NET-приложений ConfuserEX. Вредоносный код не включает в себя эксплойты для уязвимостей в фейковом PoC, а только выводит поддельное сообщение о попытке использовать уязвимости и запускает шелл-код. Вредоносная программа выполняет команду PowerShell с помощью cmd.exe для доставки фактической полезной нагрузки Cobalt-Strike Beacon. Затем злоумышленник может использовать Cobalt-Strike Beacon для дополнительных полезных нагрузок и выполнения боковых перемещений.

«Обычно ИБ-специалисты используют эксплойты для проверки уязвимостей. Следовательно, данное вредоносное ПО нацелено только на людей из ИБ-сообщества. Поэтому для членов сообщества кибербезопасности следует проверять достоверность источников перед загрузкой PoC» - заключила Cyble.

Темы:ПреступленияGitHubPoC-эксплоитыCobalt Strike
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...