Cobalt Strike återigen på uppgång – slår till mot enheter i Ukraina

Cobalt Strike återigen på uppgång – slår till mot enheter i Ukraina

Publicerat av: Redaktionen

FortiGuard Labs, hotintelligens- och forskningsorganisationen på Fortinet, har nyligen identifierat en sofistikerad cyberattack som involverar den ökända trojanen Cobalt Strike, och som riktas mot Windows-system tillhörande användare i Ukraina.

Attackkedjan bygger på att mottagen luras att ladda ned en Excel-fil, som i sin tur kommer inbäddad med ett VBA-makro utformat för att distribuera en skadlig DLL-fil.

I kampanjen använder nätkriminella en strategi i flera steg, med slutmålet att leverera den ökända Cobalt Strike och upprätta kommunikation med en extern kommando- och kontrollserver.

Cobalt Strike återigen på uppgång – slår till mot enheter i UkrainaEn av de första sakerna som DLL-filen gör är att skanna efter antivirus. Om den upptäcker närvaron av en sådan, avslutar den omedelbart ytterligare aktivitet. Om inte skickar den en webbförfrågan för att iscensätta nästa steg i kedjan. DLL-filen är utformad så att den bara kan ladda ner det andra stegets nyttolast på enheter som finns specifikt i Ukraina. Därifrån utför sedan nedladdningsprogrammet en serie steg som resulterar i att Cobalt Strike distribueras på offrets enhet.

FortiGuard Labs skriver i sin analys att angriparna genom att implementera denna typ av platsbaserade kontroller försöker undvika upptäckt. Utöver det finns även bland annat självraderingsfunktion och för att ytterligare försvåra upptäckt och analys.

Det är inte är första gången som Cobalt Strike används mot ukrainska mål. Redan 2022 observerade FortiGuard Labs en annan hotaktör som använde ett Excel-dokument för att leverera Cobalt Strike mot system i Ukraina. Förra året avslöjade Ukrainas Computer Emergency Response Team (CERT-UA) att UAC-0057 var inblandad i en attack med hjälp av en skadlig XLS-fil. Även då var Cobalt Strike inblandat.

 

 

 

 

 

Relaterade Artiklar

Vi använder cookies och andra identifierare för att förbättra din upplevelse. Detta gör att vi kan säkerställa din åtkomst, analysera ditt besök på vår webbplats. Det hjälper oss att erbjuda dig ett personligt anpassat innehåll och smidig åtkomst till användbar information. Klicka på ”Jag godkänner” för att acceptera vår användning av cookies och andra identifierare eller klicka ”Mer information” för att justera dina val. Jag Godkänner Mer Information >>

-
00:00
00:00
Update Required Flash plugin
-
00:00
00:00