Специалисты Cyble предупредили, что злоумышленники атакуют ИБ-исследователей, распространяя под видом эксплоитов для Windows малварь, которая в итоге устанавливает на машины экспертов маяки Cobalt Strike.
Аналитики Cyble сообщают, что на недавно на GitHub появилось вредоносное ПО, замаскированное под PoC-эксплоиты для пары уязвимостей в Windows (CVE-2022-24500 и CVE-2022-26809), которые Microsoft исправила в рамках апрельского «вторника обновлений».
Фальшивые эксплоиты были опубликованы в репозиториях пользователя rkxxz, которые в настоящее время уже удалены вместе с самой учетной записью. Как всегда бывает после публикации PoC-эксплоитов, новость об этом быстро распространилась в Twitter и даже привлекла внимание злоумышленников на хакерских форумах.
И вскоре стало очевидно, что на самом деле эксплоиты были фальшивыми, а на устройства людей устанавливались маяки Cobalt Strike. Аналитики Cyble детально изучили фейковые PoC и обнаружили, что те написаны на .NET и притворяются, что эксплуатируют IP-адрес, на самом деле заражая пользователей бэкдором.
Деобфусцированный образец «эксплоита» показал, что фальшивый PoC запускает PowerShell-скрипт, который выполняет другой сжатый gzip скрипт PowerShell (VirusTotal) для внедрения маяка в память.
Исследователи отмечают, что это далеко не первый случай таргетированных атак на ИБ-экспертов. Дело в том, что атакуя участников ИБ-сообщества, злоумышленники в теории получают не только доступ к данным об исследованиях уязвимостей (над которыми может работать жертва), но также могут получить доступ к сети компании, занимающейся кибербезопасностью. А это может стать настоящей золотой жилой для хакеров.
Cobalt Strike — это легитимный коммерческий инструмент, созданный для пентестеров и red team и ориентированный на эксплуатацию и постэксплуатацию. К сожалению, он давно любим хакерами, начиная от правительственных APT-группировок и заканчивая операторами шифровальщиков.
Хотя инструмент недоступен для рядовых пользователей, злоумышленники все равно находят способы его использовать (к примеру, полагаются на старые, пиратские, взломанные и незарегистрированные версии).
