Tehdit oyuncusu, Güvenlik Araştırmacılarını, Cobalt Strike Backdoor ile enfekte olan cihazlara enfekte olan sahte pencereler kavram kanıtı istismarlarına sahip.
Bu saldırıların arkasında kim varsa, CVE-2022-24500 ve CVE-2022-26809 olarak izlenen yakın zamanda yamalı Windows uzaktan kod yürütme güvenlik açıklarından yararlandı.
Microsoft bir güvenlik açığını yamaladığında, güvenlik araştırmacılarının GitHub'daki kusur için düzeltme ve yayınlama kanıtlarını analiz etmesi yaygındır.
Bu kavram kanıtı istismarları, güvenlik araştırmacıları tarafından kendi savunmalarını test etmek ve yöneticileri güvenlik güncellemelerini uygulamaya itmek için kullanılır.
Bununla birlikte, tehdit aktörleri bu istismarları genellikle saldırılar yapmak veya bir ağa yanal olarak yaymak için kullanırlar.
Geçen hafta, bir tehdit oyuncusu GitHub için GitHub'da GitHub'daki CVE-2022-26809 güvenlik açıkları için iki kavram kanıtı yayınladı.
Bu istismarlar, 'RKXXZ' adlı bir kullanıcı için depolarda yayınlandı, o zamandan beri kaldırıldı ve hesap kaldırıldı.
Bir POC yayınlandığında her zaman olduğu gibi, haberler Twitter'a hızla yayıldı ve hatta hack forumlarında yayınlayan tehdit aktörlerinin dikkatini çekti.
Bununla birlikte, kısa süre sonra bu kavram kanıtı istismarlarının sahte olduğu ve insanların cihazlarına kobalt grev işaretleri kurduğu ortaya çıktı.
Kobalt Strike, aktörlerin yaygın olarak bir kuruluş aracılığıyla yanal olarak ihlal etmek ve yaymak için kullandıkları meşru bir pentest aracıdır.
Siber güvenlik firması Cyble tarafından sonraki bir raporda, tehdit analistleri POC'yi analiz etti ve kullanıcıları arka kapıya enfekte eden bir IP adresini kullanıyormuş gibi bir .NET uygulaması olduğunu buldu.
Cyble tarafından BleepingComputer ile paylaşılan POC'nin bozulmuş bir örneğinden, sahte POC'nin GZIP sıkıştırılmış bir PowerShell betiği [Malshare | Virustotal] işareti hafızaya enjekte etmek için.
Bu, tehdit aktörlerinin ilk kez güvenlik açığı araştırmacılarını ve pentesterleri hedeflemeleri değil.
Ocak 2021'de, Kuzey Kore Lazarus Hacking Grubu, güvenlik açığı araştırmacılarını sosyal medya hesapları ve sıfır gün tarayıcı güvenlik açıkları aracılığıyla hedef aldı.
Mart 2021'de Kuzey Koreli bilgisayar korsanları, Securielite (Türkiye'de bulunan) adlı sahte bir siber güvenlik şirketi oluşturarak Infosec topluluğunu tekrar hedef aldı.
Kasım ayında, Lazarus Hacking, Nukesped Remote Access Trojan'ı yükleyen IDA Pro Ters Mühendislik Uygulamasının truva atlı bir versiyonunu kullanarak başka bir kampanya yürüttü.
Infosec topluluğunu hedefleyerek, tehdit aktörleri sadece mağdurun üzerinde çalışabileceği güvenlik açığı araştırmalarına erişim sağlamakla kalmaz, aynı zamanda bir siber güvenlik şirketinin ağına da erişebilir.
Siber güvenlik şirketleri, güvenlik açığı değerlendirmeleri, uzaktan erişim bilgileri ve hatta açıklanmayan sıfır gün güvenlik açıkları gibi müşteriler hakkında hassas bilgilere sahip olma eğiliminde olduğundan, bu tür erişim bir tehdit oyuncusu için çok değerli olabilir.
Araştırmacılar Yeni VMware Auth Bypass için istismar yayınlayacak, şimdi Patch
Bilgisayar korsanları Kritik VMware CVE-2022-22954 Bug, Şimdi Yama'dan İstismar
Bilgisayar korsanları, kaydetmeden önce çevrimiçi hesaplarınızı hackleyebilir
Rus hackerlar Avusturya, Estonya'ya karşı keşif yapıyor
Kötü niyetli PYPI paketi Windows, Linux ve Mac'lerde arka kapı açıyor
Kaynak: Bleeping Computer