Cobalt Strike 信标被部署于一种新的恶意软件活动,该活动涉及虚假招聘主题的诱饵,最初在八月份被识别,详细报道可见于黑客新闻。根据Cisco Talos的报告,威胁行为者已利用 Microsoft Office 远程代码执行漏洞被追踪为 CVE20170199来实现对系统的接管,攻击的初始向量是通过包含美国政府和新西兰公共服务协会招聘机会的钓鱼电子邮件,该邮件包含一个Word文档。这样的攻击最后导致了泄露的 Cobalt Strike 信标的送达。
研究人员表示:“信标配置包含一些命令,可以对任意二进制文件进行有针对性的进程注入,并且配置了高声誉域名,采用重定向技术伪装信标的流量。”此外,Redline Stealer 和 Amadey 残骸网络也曾被用作攻击的其他载荷。“这一活动是威胁行为者利用生成和执行恶意脚本在受害者系统内存中的典型示例组织应在 Cobalt Strike 信标方面保持高度警惕,并实施分层防御能力,以防止攻击者在攻击感染链的早期阶段进行尝试。”研究人员补充道。
通过提高警觉并有效实施防御措施,组织可以有效地抵御此类恶意软件活动的威胁。
猎豹加速器官网版特色
