Cobalt Strike Payloads: Peretas Memanfaatkan Serangan Ransomware Kaseya yang Berkelanjutan

  • Whatsapp
Cobalt Strike Payloads: Peretas Memanfaatkan Serangan Ransomware Kaseya yang Berkelanjutan

 

Pelaku serangan siber mencoba memonetisasi insiden serangan ransomware Kaseya yang saat ini sedang berlangsung dengan menyerang kemungkinan korban dalam serangan kampanye spam yang memaksa muatan Cobalt Strike bertindak sebagai pembaruan keamanan Kaseya VSA. Cobalt Strike adalah perangkat lunak pengujian penetrasi asli dan alat deteksi ancaman yang juga digunakan oleh penyerang untuk tugas pasca-serangan siber dan suar pabrik yang memungkinkan mereka mendapatkan akses jarak jauh untuk meretas ke dalam sistem yang disusupi. Tujuan utama serangan tersebut adalah mencuri data (memanen)/mengeksfiltrasi informasi sensitif, atau menyebarkan muatan malware tahap kedua.
Tim Cisco Talos Incident Response (CTIR) dalam laporan bulan September mengatakan bahwa “yang menarik, 66 persen dari semua serangan ransomware pada kuartal ini melibatkan kerangka kerja tim merah Cobalt Strike, menunjukkan bahwa pelaku ransomware semakin mengandalkan alat saat mereka meninggalkan trojan komoditas.” Kampanye spam malware yang ditemukan oleh pakar Malwarebytes Threat Intelligence menggunakan dua pendekatan berbeda untuk menanam muatan Cobalt Strike. Email yang dikirim sebagai bagian dari kampanye spam ini dilengkapi dengan lampiran yang terinfeksi dan tautan terlampir yang dibuat untuk menyamar sebagai patch Microsoft untuk zero-day Kaseya VSA yang dikompromikan dalam serangan ransomware Revil.
Tim Malwarebytes Threat Intelligence mengatakan bahwa kampanye malspam memanfaatkan serangan ransomware Kaseya VSA untuk menjatuhkan CobaltStrike. Ini berisi lampiran bernama ‘SecurityUpdates.exe’ serta tautan yang berpura-pura menjadi pembaruan keamanan dari Microsoft untuk menambal kerentanan Kaseya, kata laporan itu. Peretas mendapatkan akses jarak jauh yang terus-menerus untuk menyerang sistem setelah menjalankan lampiran/unduhan berbahaya dan meluncurkan pembaruan Microsoft palsu di perangkat mereka.
Bleeping Computer melaporkan “sama seperti kampanye malspam bulan ini, kampanye phishing bulan Juni juga mendorong muatan berbahaya yang dirancang untuk menggunakan alat pengujian penetrasi Cobalt Strike, yang akan memungkinkan penyerang untuk membahayakan sistem penerima. Halaman unduhan payload juga dikustomisasi menggunakan grafik perusahaan target untuk membuatnya tampak dapat dipercaya.” Kedua kampanye ini menyoroti bahwa pelaku ancaman dalam bisnis phishing melacak berita terbaru untuk mendorong umpan yang relevan dengan peristiwa baru-baru ini untuk meningkatkan tingkat keberhasilan kampanye mereka, kata Bleeping Computers.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *