Seorang aktor ancaman menargetkan peneliti keamanan dengan eksploitasi bukti konsep Windows palsu yang menginfeksi perangkat dengan pintu belakang Cobalt Strike.
Siapa pun yang berada di balik serangan ini memanfaatkan kerentanan eksekusi kode jarak jauh Windows yang baru-baru ini ditambal yang dilacak sebagai CVE-2022-24500 dan CVE-2022-26809.
Saat Microsoft menambal kerentanan, biasanya peneliti keamanan menganalisis perbaikan dan merilis eksploitasi proof-of-concept untuk kelemahan di GitHub.
Eksploitasi proof-of-concept ini digunakan oleh peneliti keamanan untuk menguji pertahanan mereka sendiri dan untuk mendorong admin menerapkan pembaruan keamanan.
Namun, aktor ancaman biasanya menggunakan eksploitasi ini untuk melakukan serangan atau menyebar secara lateral dalam jaringan.
Pekan lalu, seorang aktor ancaman menerbitkan dua eksploitasi proof-of-concept di GitHub untuk kerentanan Windows CVE-2022-24500 dan CVE-2022-26809 di GitHub.
Eksploitasi ini dipublikasikan di repositori untuk pengguna bernama ‘rkxxz’, yang telah dihapus dan akunnya dihapus.
Seperti yang selalu terjadi ketika PoC diterbitkan, berita dengan cepat menyebar di Twitter, dan bahkan menarik perhatian aktor ancaman yang mempostingnya di forum peretasan.
Namun, segera menjadi jelas bahwa eksploitasi proof-of-concept ini palsu dan memasang suar Cobalt Strike di perangkat orang.
Cobalt Strike adalah alat pentesting yang sah yang biasanya digunakan oleh pelaku ancaman untuk menembus dan menyebar secara lateral melalui suatu organisasi.
Dalam laporan cybersecurity Cyble, analis ancaman menganalisis PoC dan menemukan bahwa itu adalah aplikasi .NET yang berpura-pura mengeksploitasi alamat IP yang sebenarnya menginfeksi pengguna dengan pintu belakang.
Sumber: BleepingComputer
Dari sampel PoC yang tidak disamarkan yang dibagikan dengan BleepingComputer oleh Cyble, kita dapat melihat bahwa PoC palsu meluncurkan skrip PowerShell yang mengeksekusi skrip PowerShell yang dikompresi gzip [malshare | VirusTotal] untuk menyuntikkan suar ke dalam memori.
Pada Januari 2021, kelompok peretasan Lazarus Korea Utara menargetkan peneliti kerentanan melalui akun media sosial dan kerentanan browser zero-day.
Pada Maret 2021, peretas Korea Utara kembali menargetkan komunitas infosec dengan membuat perusahaan keamanan siber palsu bernama SecuriElite (berlokasi di Turki).
Pada bulan November, peretasan Lazarus melakukan kampanye lain menggunakan versi trojan dari aplikasi rekayasa balik IDA Pro yang menginstal trojan akses jarak jauh NukeSped.
Dengan menargetkan komunitas infosec, pelaku ancaman tidak hanya mendapatkan akses ke penelitian kerentanan yang mungkin sedang dikerjakan korban, tetapi juga berpotensi mendapatkan akses ke jaringan perusahaan keamanan siber.
Karena perusahaan keamanan siber cenderung memiliki informasi sensitif tentang klien, seperti penilaian kerentanan, kredensial akses jarak jauh, atau bahkan kerentanan zero-day yang tidak diungkapkan, jenis akses ini bisa sangat berharga bagi pelaku ancaman.
Sumber: Bleeping Computer
