Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Cobalt Strike незаметно распространяется через 3 новых загрузчика

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 03-17-2025, 05:05 AM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Источник файлов и жертвы злоумышленников неизвестны.

Исследователи Palo Alto Unit 42 описали 3 новых загрузчика Cobalt Strike , каждый из которых загружает разные типы имплантатов – SMB Beacon, DLL Beacon и стейджер Cobalt Strike.
SMB Beacon (KoboldLoader)
Чтобы обойти песочницы, которые перехватывают только функции пользовательского режима высокого уровня, он вызывает встроенные функции API. Чтобы усложнить анализ, он исполняет функции с помощью хэша вместо использования простых текстовых строк.
KoboldLoader создает дочерний процесс инструмента Windows «sethc.exe», затем создает новый раздел и сопоставляет с ним расшифрованный загрузчик маяка Cobalt Strike. Окончательное выполнение загрузчика Cobalt Strike происходит путем вызова «RtlCreateUserThread».
DLL Beacon (MagnetLoader)
MagnetLoader имитирует законную библиотеку Windows. Все экспортированные функции MagnetLoader вызывают одну и ту же основную подпрограмму вредоносного ПО. При вызове какой-либо функции запускается точка входа DLL, в которой вредоносное ПО загружает оригинальную библиотеку «mscms.dll» и разрешает все подделываемые функции.
Загрузчик маяка Cobalt Strike расшифровывается в буфер памяти и запускается, используя параметр обратного вызова функции Windows API «EnumChildWindows». Вредоносное ПО может злоупотреблять этим параметром, чтобы косвенно вызывать адрес через функцию обратного вызова и скрывать поток выполнения.
Стейджер (LithiumLoader)
LithiumLoader распространяется через легитимный установочный пакет FortiClient VPN, созданный злоумышленником и представленный VirusTotal как «FortiClientVPN_windows.exe». Поскольку файл подписан, он не обнаруживается антивирусным ПО.
Программа установки представляет собой самораспаковывающийся RAR-архив, содержащий следующие файлы:

При запуске установщика все файлы автоматически помещаются в локальную папку «%AppData%» и запускаются оба исполняемых файла. Во время выполнения установщика FortiClient VPN инструмент WinGup дополнительно загружает вредоносную библиотеку «libcurl.dll», импортируя некоторые функции из легитимной копии библиотеки «libcurl».
При компиляции библиотеки LithiumLoader в легитимную библиотеку внедряется вредоносный сценарий одной из функций. Затем эта функция запускает шелл-код стейджера Cobalt Strike косвенно через функцию обратного вызова «EnumSystemGeoID». Шелл-код стейджера Cobalt Strike заимствован из Metasploit и представляет собой обратную полезную нагрузку HTTP-оболочки.
 

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 10:49 PM.

Contact Us - Carder.life - Archive - Top