Actus

Une vague de spam ‘Matanbuchus’ infecte les appareils avec Cobalt Strike

Par , le 18 juin 2022 - 11 minutes de lecture
Notez l'article

Les chercheurs en sécurité ont remarqué une nouvelle campagne de spam malveillant qui diffuse le malware “Matanbuchus” pour déposer des balises Cobalt Strike sur des machines compromises.

Cobalt Strike est une suite de tests d’intrusion fréquemment utilisée par les acteurs de la menace pour les mouvements latéraux et pour larguer des charges utiles supplémentaires.

Matanbuchus est un projet de malware-as-a-service (MaaS) repéré pour la première fois en février 2021 dans des publicités sur le dark web le promouvant comme un chargeur de 2 500 $ qui lance des exécutables directement dans la mémoire système.

L’unité 42 de Palo Alto Networks l’a analysée en juin 2021 et a cartographié de vastes parties de son infrastructure opérationnelle. Les fonctionnalités du logiciel malveillant incluent le lancement de commandes PowerShell personnalisées, l’utilisation d’exécutables autonomes pour charger les charges utiles DLL et l’établissement de la persistance via l’ajout de planifications de tâches.

Campagne en cours

Campagne en cours

L’analyste des menaces Brad Duncan a capturé un échantillon du logiciel malveillant et a examiné son fonctionnement dans un environnement de laboratoire.

La campagne de spam actuellement en cours utilise des leurres qui prétendent être des réponses à des conversations par e-mail précédentes, ils comportent donc un “Re :” dans la ligne d’objet.

Les e-mails comportent une pièce jointe ZIP qui contient un fichier HTML qui génère une nouvelle archive ZIP. Cela extrait finalement un package MSI signé numériquement avec un certificat valide délivré par DigiCert pour “Westeast Tech Consulting, Corp.”

L’exécution du programme d’installation MSI lance soi-disant une mise à jour du catalogue de polices Adobe Acrobat qui se termine par un message d’erreur, pour distraire la victime de ce qui s’est passé dans les coulisses.

En arrière-plan, deux charges utiles DLL Matanbuchus (“main.dll”) sont déposées à deux emplacements différents, une tâche planifiée est créée pour maintenir la persistance entre les redémarrages du système et la communication avec le serveur de commande et de contrôle (C2) est établie.

Enfin, Matanbuchus charge la charge utile Cobalt Strike depuis le serveur C2, ouvrant la voie à un potentiel d’exploitation plus large.

Cobalt Strike en tant que charge utile de deuxième étape dans la campagne de spam de Metanbuchus a été signalé pour la première fois par DCSO, une société de sécurité allemande, le 23 mai 2022. Ils ont également remarqué que Qakbot était également livré dans certains cas.

Fait intéressant, dans cette campagne, la signature numérique utilisée pour le fichier MSI était à nouveau une signature valide de DigiCert, délivrée à “Advanced Access Services LTD”.

Pour les indicateurs récents de compromission, les défenseurs peuvent consulter ceux collectés par DCSO et les IoC publiés par « Execute Malware » à propos de la campagne en cours.

Duncan a également publié sur son site Web des échantillons de trafic, des artefacts, des exemples et des indicateurs de compromission (IoC).

Entièrement non détecté dans les chercheurs de VirusTotal Intezer, qui ont repéré pour la première fois la réimplémentation de la balise en août et l’ont surnommée Vermilion Strike, ont déclaré que le binaire Cobalt Strike ELF [VirusTotal] qu’ils ont découvert est actuellement totalement non détecté par les solutions anti-malware.

Cobalt Strike est-il une porte dérobée ?

Cobalt Strike est-il une porte dérobée ?

la porte dérobée Cobalt Strike. Avec une augmentation annuelle de plus de 161 %, l’utilisation malveillante de versions piratées de Cobalt Strike (un outil de test d’intrusion légitime) monte en flèche.

Les pirates utilisent-ils Cobalt Strike ? Cobalt Strike n’est pas la seule menace Ils aiment détourner les fonctions de sécurité vers des armes d’attaque, et des frameworks tels que Metasploit ou Cobalt Strike rendent le piratage beaucoup plus rapide et plus facile. Cobalt Strike est un produit haut de gamme.

Quel type de malware est Cobalt Strike ?

Troyen. CobaltStrike est un produit de test d’intrusion payant qui permet à un attaquant de déployer un agent nommé “Beacon” sur la machine victime. De nombreux cybercriminels qui exploitent des logiciels malveillants utilisent l’outil Cobalt Strike pour supprimer plusieurs charges utiles après avoir compromis un réseau.

Quelle est l’utilité de Cobalt Strike ?

Cobalt Strike est un logiciel commercial de simulation d’adversaires commercialisé auprès des équipes rouges, mais également volé et activement utilisé par un large éventail d’acteurs malveillants, des opérateurs de ransomwares aux menaces persistantes avancées (APT) axées sur l’espionnage.

Cobalt Strike est-il un Metasploit ?

Cobalt Strike 3.0 est une plate-forme autonome pour les simulations d’adversaires et les opérations de l’équipe rouge. Cela ne dépend pas du Framework Metasploit. Cela dit, le Metasploit Framework est une richesse de capacités et il y a des endroits où il ajoute de la valeur.

Comment les pirates utilisent-ils Cobalt Strike ?

Comment les pirates utilisent-ils Cobalt Strike ?

"Les acteurs de la menace peuvent également utiliser la malléabilité de Cobalt Strike pour créer des versions personnalisées qui ajoutent ou suppriment des fonctionnalités pour atteindre des objectifs ou échapper à la détection" selon Proofpoint.

Qui utilise Cobalt Strike ? Cobalt Strike a été l’un des premiers cadres publics de commandement et de contrôle de l’équipe rouge. En 2020, HelpSystems a acquis Cobalt Strike pour compléter son portefeuille Core Security et s’associer à Core Impact. Aujourd’hui, Cobalt Strike est la plate-forme d’équipe rouge incontournable pour de nombreux gouvernements américains, grandes entreprises et organisations de conseil.

Pourquoi les pirates utilisent Cobalt Strike ?

Cobalt Strike et SolarWinds Une analyse Microsoft de l’attaque publiée en janvier a montré que les attaquants utilisaient Cobalt Strike pour maintenir la persistance et rester cachés pour leur donner le temps de pénétrer complètement les systèmes, de se déplacer latéralement à travers les réseaux et d’exfiltrer les données lors d’attaques ultérieures.

Quel type de malware est Cobalt Strike ?

Qu’est-ce que Cobalt Strike ? L’outil Cobalt Strike est utilisé pour détecter les vulnérabilités de pénétration du système. L’outil lui-même est censé être utilisé pour tester des logiciels afin de trouver des bogues et des défauts, cependant, les cybercriminels profitent souvent de ces outils, et Cobalt Strike ne fait pas exception.

Comment les attaquants utilisent-ils Cobalt Strike ?

Cobalt Strike utilise Beacon pour prendre pied sur un réseau cible, télécharger et exécuter des charges utiles malveillantes. Il peut être transmis via HTTP, HTTPS, DNS ou le protocole Windows SMB. Il peut effectuer une communication asynchrone discrète, ainsi qu’une communication interactive en temps réel avec le serveur Cobalt Strike.

Qu’est-ce que le DNS Cobalt Strike ?

Qu'est-ce que le DNS Cobalt Strike ?

La balise DNS est une fonctionnalité préférée de Cobalt Strike. Cette charge utile utilise des requêtes DNS pour vous renvoyer une balise. Ces requêtes DNS sont des recherches sur des domaines pour lesquels votre serveur d’équipe Cobalt Strike fait autorité. La réponse DNS indique à Beacon de se mettre en veille ou de se connecter à vous pour télécharger des tâches.

Quel port utilise Cobalt Strike ? Cobalt Strike utilise également des sockets TCP et des sessions SSH pour connecter une session balise à une autre. Ainsi, lorsque nous avons connecté un écouteur (par exemple, une balise DNS) à une autre balise (par exemple, une balise SMB) pour effectuer un mouvement latéral, nous avons observé la création de l’événement sysmon ID 17 “Pipe créé”, dans nos journaux.

Qu’est-ce qu’un serveur Cobalt Strike ?

Cobalt Strike est une plate-forme pour les simulations d’adversaires et les opérations de l’équipe rouge. Le produit est conçu pour exécuter des attaques ciblées et imiter les actions post-exploitation d’acteurs malveillants avancés.

Comment fonctionne la licence Cobalt Strike ?

Les nouvelles licences Cobalt Strike coûtent 5 900 $ par utilisateur pour une licence d’un an. Cobalt Strike peut également être associé à notre solution de test d’intrusion, Core Impact, à un prix réduit. Pour plus d’informations, consultez notre page de tarification.

Les pirates utilisent-ils réellement Metasploit ?

Les pirates utilisent-ils réellement Metasploit ?

Oui, les pentesters utilisent Metasploit. Avec des modèles exe personnalisés et shikata_ga_nai, vous pouvez tromper presque toutes les solutions AV (Google for AV evasion pour en savoir plus à ce sujet) et la charge utile meterpreter est vraiment pratique pour augmenter les privilèges dans les domaines Windows.

Pouvons-nous pirater le wifi en utilisant Metasploit ? La réponse simple est qu’en utilisant des tactiques et des outils spécifiques, vous pouvez pirater les mots de passe Wi-Fi dans Metasploit. Toute personne se trouvant à l’intérieur du rayon de diffusion du routeur peut se connecter à un réseau sans fil.

Que peuvent faire les hackers avec Metasploit ?

Metasploit est le premier framework de pénétration open source au monde utilisé par les ingénieurs en sécurité comme système de test de pénétration et comme plate-forme de développement permettant de créer des outils et des exploits de sécurité. Le cadre rend le piratage simple pour les attaquants et les défenseurs.

Est-il sûr d’utiliser Metasploit ?

Tant que vous l’installez à partir d’une source connue, il ne devrait y avoir aucun risque pour vous ou votre ordinateur. Cependant, les administrateurs réseau de votre employeur peuvent avoir quelques questions à vous poser si vous l’utilisez et qu’ils détectent l’activité.

Les pirates utilisent-ils Metasploit ?

La réponse est oui. Les hackers éthiques et les hackers black hat utilisent le framework Metasploit. C’est un outil puissant permettant aux pirates d’exploiter les adresses IP et les ports qu’il contient.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.