Исследователи Cyble обнаружили вредоносную кампанию, нацеленную на представителей Infosec-сообщества, в рамках которой используется поддельным PoC-эксплойт для доставки Cobalt Strike.
Все началось с сообщения в Twitter, автор которого разоблачил малварь, замаскированный под эксплойт Proof of Concept для уязвимости удаленного выполнения кода RPC Runtime Library (CVE-2022-26809 с оценкой CVSS 9.8), который распространяли таким образом через GitHub.
В ходе расследования нашелся и другой замаскированный под POC-эксплойт для CVE-2022-24500 вредоносный образец, который также размещался в GitHub. При этом оба репозитория принадлежат одному и тому же владельцу, являющемуся главным актором всей кампании. Кроме того, ресерчеры отследили обсуждения, которые инициировали злоумышленники на ИБэшных форумах для распространения вредоносных ПО под видом PoC.
Анализ образцов ПО показал, что они представляют собой двоичный файл .Net, упакованный ConfuserEX, при этом никаким образом не содержат в коде ни строчки упомянутых в PoC уязвимостей. По факту малварь визуально имитирует попытку эксплуатации уязвимости, запуская в фоне шелл-код.
Программа выполняет команду PowerShell с помощью cmd.exe для доставки фактической полезной нагрузки, которая представляет собой Cobalt-Strike. Затем злоумышленники могут использовать его для загрузки дополнительных полезных данных и выполнения боковых перемещений.
