恶意软件SILKLOADER利用Cobalt Strike逃避检测

与俄罗斯网络犯罪生态系统相关的威胁活动集群已被观察到使用一种新的恶意软件,该恶意软件旨在将Cobalt Strike加载到受感染的机器上。
该恶意软件被芬兰网络安全公司WithSecure称为SILKLOADER,它利用DLL侧载技术来提供商业化的攻击行为。
随着针对Cobalt Strike的检测能力得到改进,Cobalt Strike是一种用于红队操作的合法后开发工具,迫使威胁行为者寻求替代选择或制定新的方法来传播框架以逃避检测。
“其中最常见的包括通过使用加壳器、加密器、加载器或类似技术来增加自动生成的信标或stager有效载荷的复杂性,”WithSecure 研究人员说。
SILKLOADER 与最近发现的包含Cobalt Strike组件的KoboldLoader、MagnetLoader和LithiumLoader等其他加载器一起。
它还与LithiumLoader有重叠之处,因为两者都采用 DLL 侧加载方法来劫持合法应用程序,目的是运行单独的恶意动态链接库 (DLL)。
SILKLOADER通过特制的libvlc.dll文件实现这一点,这些文件与合法但重命名的VLC媒体播放器二进制文件 (Charmap.exe) 一起被删除。
WithSecure表示,在分析了2022年第四季度针对巴西、法国和台湾众多组织的各种实体的“几次人为入侵”后,它确定了shellcode加载程序。
尽管这些攻击没有成功,但该活动被怀疑是勒索软件部署的前奏,其策略和工具与Play勒索软件运营商的策略和工具“严重重叠”。
在一次针对一家未具名的法国社会福利组织的攻击中,威胁行为者通过利用受损的Fortinet SSL VPN设备来部署Cobalt Strike信标,从而在网络中站稳了脚跟。
“威胁行为者在该组织中立足了几个月,”WithSecure说。“在此期间,他们进行了发现和凭证窃取活动,随后部署了多个Cobalt Strike信标。”
但是当这种尝试失败时,对手转而使用SILKLOADER来绕过检测并传递信标有效载荷。

另一个名为BAILLOADER的加载程序也用于分发Cobalt Strike信标,最近几个月与涉及Quantum勒索软件、GootLoader和IcedID木马的攻击有关。
就其本身而言,据说BAILLOADER与代号为Tron的加密器有相似之处,不同的对手已将其用于分发Emotet、TrickBot、BazarLoader、IcedID、Conti勒索软件和Cobalt Strike。
这增加了不同的威胁行为者共享第三方分支机构提供的Cobalt Strike信标、加密器和基础设施的可能性,以利用不同的策略为多次入侵提供服务。
换句话说,SILKLOADER很可能通过Packer-as-a-Service程序作为现成的加载程序提供给俄罗斯的威胁参与者。
WithSecure说:“这个加载器要么直接提供给勒索软件组织,要么可能通过向受信任的附属机构提供Cobalt Strike/基础设施即服务的组织提供。”
“这些分支机构中的大多数似乎是Conti集团、其成员和据称关闭后的后代的一部分,或者与其有着密切的工作关系。”
该公司分析的SILKLOADER样本显示,该恶意软件的早期版本可追溯到2022年初,该加载程序专门用于针对中国和香港受害者的不同攻击。
据信,目标从东亚转移到巴西和法国等其他国家是在2022年7月左右发生的,此后所有与SILKLOADER相关的事件都归因于俄罗斯网络犯罪分子。
这进一步让位于一个假设,即“SILKLOADER最初是由网络犯罪生态系统中活动的威胁行为者编写的”,并且“加载程序至少早在2022年5月至2022年7月就被该关系中的威胁行为者使用”。
“构建器或源代码后来在2022年7月至2022年9月期间被俄罗斯网络犯罪生态系统中的威胁行为者获取,”WithSecure 说,并补充说,“原作者在不再拥有任何东西后将加载程序卖给了俄罗斯威胁行为者为它所用。”
SILKLOADER和BAILLOADER只是威胁行为者改进和重组其方法以保持领先于检测曲线的最新示例。
“随着网络犯罪生态系统通过服务产品变得越来越模块化,不再可能仅仅通过将它们与攻击中的特定组件联系起来,”WithSecure研究人员总结道。
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/5033.html