Los investigadores han descubierto que las vulnerabilidades de Log4j se están utilizando para desplegar balizas Cobalt Strike a través de la herramienta de línea de comandos de Windows Defender.
Los investigadores de ciberseguridad de Sentinel Labs han descubierto recientemente un nuevo método, empleado por un criminal desconocido, cuyo objetivo es el despliegue del ransomware LockBit 3.0.
Funciona de la siguiente manera: el hacker aprovecharía log4shell (como se denominó Log4j en el día cero) para obtener acceso a un punto final objetivo, y obtener los privilegios de usuario necesarios. Una vez hecho esto, utilizaría PowerShell para descargar tres archivos distintos: un archivo de utilidad de Windows CL (limpio), un archivo DLL (mpclient.dll) y un archivo LOG (la baliza real de Cobalt Strike).
Carga lateral de Cobalt Strike
A continuación, ejecutarían MpCmdRun.exe, una utilidad de línea de comandos que realiza diversas tareas para Microsoft Defender. Este programa suele cargar un archivo DLL legítimo, mpclient.dll, que necesita para ejecutarse correctamente. Pero en este caso, el programa cargaría una DLL maliciosa del mismo nombre, descargada junto con el programa.
Esa DLL hará que el archivo LOG cargue y descifre una carga útil cifrada de Cobalt Strike.
Es un método conocido como side-loading o carga lateral.
Normalmente, este afiliado de LockBit utilizaba las herramientas de línea de comandos de VMware para cargar lateralmente las balizas de Cobalt Strike, según BleepingComputer, por lo que el cambio a Windows Defender es algo inusual. La publicación especula que el cambio se hizo para eludir las protecciones específicas que VMware introdujo recientemente. Aun así, el uso de herramientas que viven en la tierra para evadir la detección de los servicios de protección antivirus o de malware es "extremadamente común" en estos días, concluye la publicación, que insta a las empresas a comprobar sus controles de seguridad y a estar atentas al seguimiento de cómo se (ab)usan los ejecutables legítimos.
Aunque Cobalt Strike es una herramienta legítima, utilizada para pruebas de incursión, se ha hecho bastante infame, ya que está siendo utilizada por criminales de todo el mundo. Viene con una extensa lista de funciones que los ciberdelincuentes pueden utilizar para mapear la red objetivo, sin ser detectados, y moverse lateralmente a través de los puntos finales, mientras se preparan para robar datos y desplegar ransomware.
- La mejor VPN de 2021: nuestro ranking de las mejores VPN para que puedas elegir
- ¿Tu ordenador va lento? Te contamos cómo optimizar Windows 10 para que vaya más rápido
Fuente: BleepingComputer
