Источник файлов и жертвы злоумышленников неизвестны.
Исследователи Palo Alto Unit 42 описали 3 новых загрузчика Cobalt Strike , каждый из которых загружает разные типы имплантатов – Cobalt Strike.
SMB Beacon (KoboldLoader)
Чтобы обойти песочницы, которые перехватывают только функции пользовательского режима высокого уровня, он вызывает встроенные функции API. Чтобы усложнить анализ, он исполняет функции с помощью хэша вместо использования простых текстовых строк.
KoboldLoader создает дочерний процесс инструмента Windows «sethc.exe», затем создает новый раздел и сопоставляет с ним расшифрованный загрузчик маяка Cobalt Strike. Окончательное выполнение загрузчика Cobalt Strike происходит путем вызова «RtlCreateUserThread».
DLL Beacon (MagnetLoader)
MagnetLoader имитирует законную библиотеку Windows. Все экспортированные функции MagnetLoader вызывают одну и ту же основную подпрограмму вредоносного ПО. При вызове какой-либо функции запускается точка входа DLL, в которой вредоносное ПО загружает оригинальную библиотеку «mscms.dll» и разрешает все подделываемые функции.
Загрузчик маяка Cobalt Strike расшифровывается в буфер памяти и запускается, используя параметр обратного вызова функции Windows API «EnumChildWindows». Вредоносное ПО может злоупотреблять этим параметром, чтобы косвенно вызывать адрес через функцию обратного вызова и скрывать поток выполнения.
Стейджер (LithiumLoader)
LithiumLoader распространяется через легитимный установочный пакет FortiClient VPN, созданный злоумышленником и представленный VirusTotal как «FortiClientVPN_windows.exe». Поскольку файл подписан, он не обнаруживается антивирусным ПО.
Программа установки представляет собой самораспаковывающийся RAR-архив, содержащий следующие файлы:
При запуске установщика все файлы автоматически помещаются в локальную папку «%AppData%» и запускаются оба исполняемых файла. Во время выполнения установщика FortiClient VPN инструмент WinGup дополнительно загружает вредоносную библиотеку «libcurl.dll», импортируя некоторые функции из легитимной копии библиотеки «libcurl».
При компиляции библиотеки LithiumLoader в легитимную библиотеку внедряется вредоносный сценарий одной из функций. Затем эта функция запускает шелл-код стейджера Cobalt Strike косвенно через функцию обратного вызова «EnumSystemGeoID». Шелл-код стейджера Cobalt Strike заимствован из Metasploit и представляет собой обратную полезную нагрузку HTTP-оболочки.
