Ερευνητές ασφαλείας έγιναν στόχος κακόβουλου παράγοντα, ο οποίος τους έστειλε PoC για fake exploits στα Windows, μολύνοντας τις συσκευές τους με το Cobalt Strike backdoor.
Δείτε επίσης: Windows 11: Η νέα αναζήτηση desktop λειτουργεί μόνο με Edge
Ο hacker πίσω από αυτές τις επιθέσεις, φαίνεται να εκμεταλλεύτηκε πρόσφατα διορθωμένες ευπάθειες εκτέλεσης απομακρυσμένου κώδικα των Windows, γνωστές ως CVE-2022-24500 και CVE-2022-26809.
Όταν η Microsoft διορθώνει μια ευπάθεια, είναι σύνηθες για τους ερευνητές ασφάλειας να αναλύουν την επιδιόρθωση και να δημοσιεύουν PoC για το ελάττωμα στο GitHub.
Αυτά τα proof-of-concept exploits, χρησιμοποιούνται από ερευνητές ασφαλείας για να δοκιμάσουν τις δικές τους άμυνες και να ωθήσουν τους διαχειριστές να εφαρμόσουν ενημερώσεις ασφαλείας.
Ωστόσο, πολλές φορές οι κακόβουλοι παράγοντες χρησιμοποιούν επίσης αυτά τα exploits, για να πραγματοποιήσουν επιθέσεις ή να εξαπλωθούν πλευρικά μέσα σε ένα δίκτυο.
Την περασμένη εβδομάδα, ένας κακόβουλος παράγοντας δημοσίευσε δύο proof-of-concept exploits για τις ευπάθειες CVE-2022-24500 και CVE-2022-26809 των Windows στο GitHub.
Αυτά τα exploits δημοσιεύτηκαν σε αποθετήρια για έναν χρήστη με το όνομα ‘rkxxz‘, τα οποία έκτοτε καταργήθηκαν όπως και ο λογαριασμός.
Δείτε ακόμα: Ουκρανία: Ψεύτικες ενημερώσεις ασφαλείας εγκαθιστούν το Cobalt Strike
Όπως συμβαίνει πάντα όταν δημοσιεύεται ένα PoC, οι ειδήσεις διαδόθηκαν γρήγορα στο Twitter και τράβηξαν την προσοχή των κακόβουλων χρηστών, που ανάρτησαν την είδηση σε φόρουμ hacking.
Ωστόσο, σύντομα έγινε φανερό ότι αυτά τα proof-of-concept exploits ήταν πλαστά και εγκατέστησαν Cobalt Strike backdoor στις συσκευές των ανθρώπων.
Το Cobalt Strike είναι ένα νόμιμο εργαλείο διείσδυσης που χρησιμοποιούν συνήθως οι φορείς απειλών για να παραβιάσουν και να εξαπλωθούν πλευρικά μέσω ενός οργανισμού.
Σε μια μεταγενέστερη έκθεση της εταιρείας κυβερνοασφάλειας Cyble, αναλυτές απειλών ανέλυσαν το PoC και διαπίστωσαν ότι επρόκειτο για μια εφαρμογή .NET που προσποιείται ότι εκμεταλλεύεται μια διεύθυνση IP που μόλυνε τους χρήστες με το Cobalt Strike.
Στοχεύοντας τους ερευνητές ασφαλείας, οι φορείς απειλών όχι μόνο αποκτούν πρόσβαση στις έρευνες που κάνει το θύμα, αλλά μπορεί επίσης να αποκτήσουν πρόσβαση στο δίκτυο μιας εταιρείας κυβερνοασφάλειας.
Δείτε επίσης: Hackers εγκαθιστούν Cobalt Strike beacons σε Microsoft SQL Servers
Καθώς οι εταιρείες κυβερνοασφάλειας τείνουν να έχουν ευαίσθητες πληροφορίες για τους πελάτες τους, όπως αξιολογήσεις ευπάθειας, διαπιστευτήρια απομακρυσμένης πρόσβασης ή ακόμα και ακάλυπτες ευπάθειες zero-day, αυτός ο τύπος πρόσβασης μπορεί να είναι πολύ πολύτιμος για έναν παράγοντα απειλής.
