Новости Cobalt Strike незаметно распространяется через 3 новых загрузчика

[NewsMaker]

Источник файлов и жертвы злоумышленников неизвестны.​

---

---

Исследователи Palo Alto Unit 42 Для просмотра ссылки Войди или Зарегистрируйся , каждый из которых загружает разные типы имплантатов – Для просмотра ссылки Войди или Зарегистрируйся Beacon, Для просмотра ссылки Войди или Зарегистрируйся Beacon и Для просмотра ссылки Войди или Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся .

SMB Beacon (KoboldLoader)

Чтобы обойти песочницы, которые перехватывают только функции пользовательского режима высокого уровня, он вызывает встроенные функции API. Чтобы усложнить анализ, он исполняет функции с помощью хэша вместо использования простых текстовых строк.

KoboldLoader создает дочерний процесс инструмента Windows «sethc.exe», затем создает новый раздел и сопоставляет с ним расшифрованный загрузчик маяка Cobalt Strike. Окончательное выполнение загрузчика Cobalt Strike происходит путем вызова «RtlCreateUserThread».

DLL Beacon (MagnetLoader)

MagnetLoader имитирует законную библиотеку Windows. Все экспортированные функции MagnetLoader вызывают одну и ту же основную подпрограмму вредоносного ПО. При вызове какой-либо функции запускается точка входа DLL, в которой вредоносное ПО загружает оригинальную библиотеку «mscms.dll» и разрешает все подделываемые функции.

Загрузчик маяка Cobalt Strike расшифровывается в буфер памяти и запускается, используя параметр обратного вызова функции Windows API «EnumChildWindows». Вредоносное ПО может злоупотреблять этим параметром, чтобы косвенно вызывать адрес через функцию обратного вызова и скрывать поток выполнения.

Стейджер (LithiumLoader)

LithiumLoader распространяется через легитимный установочный пакет FortiClient VPN, созданный злоумышленником и представленный VirusTotal как «FortiClientVPN_windows.exe». Поскольку файл подписан, он не обнаруживается антивирусным ПО.

Программа установки представляет собой самораспаковывающийся RAR-архив, содержащий следующие файлы:

---

---

При запуске установщика все файлы автоматически помещаются в локальную папку «%AppData%» и запускаются оба исполняемых файла. Во время выполнения установщика FortiClient VPN инструмент WinGup дополнительно загружает вредоносную библиотеку «libcurl.dll», импортируя некоторые функции из легитимной копии библиотеки «libcurl».

При компиляции библиотеки LithiumLoader в легитимную библиотеку внедряется вредоносный сценарий одной из функций. Затем эта функция запускает шелл-код стейджера Cobalt Strike косвенно через функцию обратного вызова «EnumSystemGeoID». Шелл-код стейджера Cobalt Strike заимствован из Для просмотра ссылки Войди или Зарегистрируйся и представляет собой обратную полезную нагрузку HTTP-оболочки.