به گزارش ICTNN از روابط عمومی مرکز مدیریت استراتژیک شهر آفتاب، پیش از این، محققان امنیتی در فروردین 1401 اعلام کرده بودند که LockBit (معروف به LockBit Black) از ابزار خط فرمان قابل اعتماد VMware، VMwareXferlogs.exe، برای بارگذاری و استفاده از آن استفاده شده است. تزریق کبالت استرایک.
Cobalt Strike یک ابزار تست نفوذ قابل اعتماد با ویژگی های گسترده است که توسط مهاجمان برای شناسایی شبکه و انتشار عفونت در آن، قبل از سرقت و رمزگذاری داده ها استفاده می شود.
در این حملات، از طریق آسیبپذیری Log4j، ابتدا هدف مورد نظر در سرور VMWare Horizon وصلهنشده نفوذ میکند.
پس از نفوذ اولیه، مهاجمان سعی کردند از دستورات برای بهره برداری از ابزارهای متعدد و پیاده سازی روش جدیدی برای بارگذاری و تزریق Cobalt Strike استفاده کنند.
در این سری از حملات به طور خاص، هنگام اجرای Cobalt Strike، یک ابزار معتبر جدید برای بارگیری یک DLL مخرب استفاده می شود که کد مخرب را رمزگشایی می کند.
مهاجمان کد بدافزار، DLL مخرب و ابزارهای معتبر را از سرور فرمان و کنترل خود با استفاده از ابزارهای خط فرمان معتبر دانلود می کنند.
استفاده از ابزارها و عملکردهای عادی و سالم سیستم عامل و سایر نرم افزارهای کاربردی توسط مهاجمان سایبری برای اهداف مخرب خود بر روی سیستم قربانی یکی از روش هایی است که مهاجمان برای پنهان ماندن از دید سیستم های امنیتی و آنتی ویروس های قدیمی استفاده می کنند. و تشخیص داده نشود. این روش “Living off the Land” یا به اختصار LotL نامیده می شود.
کارشناسان مرکز مدیریت استراتژیک افتا تاکید می کنند که استفاده از محصولات قابل اعتماد مانند VMware و Windows Defender همواره باید با بررسی دقیق همراه باشد زیرا در سازمان ها بسیار مورد استفاده قرار می گیرند و در عین حال پتانسیل خوبی برای سوء استفاده مهاجمان دارند. مدیران امنیتی موظفند بهروزرسانیهای منتشر شده برای همه محصولات را به موقع وصله کنند.
تیم تحرریه شبکه خبری فناوری اطلاعات و ارتباطات
