Pelaku ancaman mencoba memanfaatkan krisis serangan ransomware Kaseya yang sedang berlangsung dengan menargetkan calon korban dalam kampanye spam yang mendorong muatan Cobalt Strike yang disamarkan sebagai pembaruan keamanan Kaseya VSA.
Cobalt Strike adalah alat pengujian penetrasi yang sah dan perangkat lunak emulasi ancaman yang juga digunakan oleh penyerang untuk tugas pasca-eksploitasi dan untuk menyebarkan suar yang memungkinkan mereka mendapatkan akses jarak jauh ke sistem yang disusupi.
Tujuan akhir dari serangan tersebut adalah untuk mengumpulkan dan mengekstrak data sensitif atau mengirimkan muatan malware tahap kedua.
Kampanye malspam yang ditemukan oleh peneliti Malwarebytes Threat Intelligence menggunakan dua taktik berbeda untuk menyebarkan muatan Cobalt Strike.
Email berbahaya yang dikirim sebagai bagian dari kampanye malspam ini dilengkapi dengan lampiran berbahaya dan tautan tertanam yang dirancang agar terlihat seperti patch Microsoft untuk zero-day Kaseya VSA yang dieksploitasi dalam serangan ransomware REvil.
“Kampanye malspam memanfaatkan serangan ransomware Kaseya VSA untuk menjatuhkan CobaltStrike,” kata tim Malwarebytes Threat Intelligence.
“Ini berisi lampiran bernama ‘SecurityUpdates.exe’ serta tautan yang berpura-pura sebagai pembaruan keamanan dari Microsoft untuk menambal kerentanan Kaseya!”
Penyerang mendapatkan akses jarak jauh yang persisten ke sistem target setelah mereka menjalankan lampiran berbahaya atau mengunduh dan meluncurkan pembaruan Microsoft palsu di perangkat mereka.
Selengkapnya: Bleeping Computer
