新的恶意软件运动利用工作主题诱饵针对Cobalt Strike Beacons

一项利用工作主题诱饵的社会工程学运动正在将微软Office中长达数年的远程代码武器化，以在受损主机上部署Cobalt 攻击信标。

思科Talos研究人员Chetan Raghuprasad和Vanja Svajcer在周三发布的一份新分析报告中说，发现的有效载荷是Cobalt 打击信标的泄露版本。

  “信标配置包含执行任意二进制的目标进程注入的命令，并配置了高信誉域，显示了伪装信标流量的重定向技术”。

该恶意活动于2022年8月发现，试图利用Microsoft Office中远程代码执行问题CVE – 2017 – 0199漏洞，使攻击者能够控制受影响的系统。

攻击的输入向量是一个钓鱼电子邮件，其中包含一个MicrosoftWord附件，该附件使用以工作为主题的诱饵，在美国政府和公共服务协会(新西兰的一个工会)中扮演角色。

Cobalt Strike远不是唯一部署的恶意软件样本，因为思科Talos公司还观察到规定飞行速度极限值偷窃者和Amadey僵尸网络可执行文件作为攻击链另一端的有效载荷。

网络安全公司称这一攻击方法”高度模块化”，该公司还表示，该活动还突出表明，它使用Bitbucket存储库来承载恶意内容，作为下载负责部署Cobalt Strike DLL信标的Windows可执行文件的起点。

在另一种攻击序列中，Bitbucket存储库充当管道，提供混淆的VB和PowerShell下载器脚本来安装托管在不同Bitbucket帐户上的信标。

研究人员说，这项运动是威胁行为者在受害者的系统内存中使用生成和执行恶意脚本技术的典型例子。

 “组织应时刻警惕’Cobalt Strike’信标，并实施分层防御能力，以挫败攻击者在攻击传染链早期阶段的企图”。