Avvxsegunmhledcivdfqlb64R5Kidoyegteh1S Zxdacgposvxaaa1Esnl1Utdx45K S Pfxqxbmxltyltv2Pk65Xp3G4Gv0Ej Copnadbb4Lhlhg3 Qy2Cj521Ryiar 7Dwgiv Op Gbttcbfg8Iqhpjcdf3Ycyu Oj5Gnaaufchdnyhmhwxgpyjmoqe8D

Une campagne malveillante a été trouvée utilisant une technique appelée Domain Fronting pour masquer le trafic de commande et de contrôle en exploitant un domaine légitime appartenant au gouvernement du Myanmar pour acheminer les communications vers un serveur contrôlé par un attaquant dans le but d’échapper à la détection.

La menace, qui a été observée en septembre 2021, a déployé des charges utiles de Cobalt Strike comme tremplin pour lancer de nouvelles attaques, l’adversaire utilisant un domaine associé au réseau Myanmar Digital News, un journal numérique appartenant à l’État, comme façade pour leurs Beacons. .

« Lorsque Beacon est lancé, il soumet une requête DNS pour un domaine légitime de haute réputation hébergé derrière l’infrastructure Cloudflare et modifie l’en-tête des requêtes HTTPs suivantes pour indiquer au CDN de diriger le trafic vers un hôte contrôlé par un attaquant », les chercheurs de Cisco Talos Chetan Raghuprasad, Vanja Svajcer et Asheer Malhotra mentionné dans une analyse technique publiée mardi.

Sauvegardes Automatiques Github

Initialement publié en 2012 pour combler les lacunes perçues dans le cadre de test de pénétration et de piratage Metasploit, Frappe au cobalt est un logiciel d’équipe rouge populaire utilisé par les testeurs d’intrusion pour émuler l’activité des acteurs de la menace dans un réseau.

Mais comme l’utilitaire simule des attaques en effectuant réellement ces attaques, le logiciel a de plus en plus émergé comme une arme redoutable entre les mains des opérateurs de logiciels malveillants, qui l’utilisent comme une charge utile d’accès initial qui permet aux attaquants d’effectuer un large éventail d’activités post-exploitation, y compris le mouvement latéral et de déployer un large éventail de logiciels malveillants.

Publicité
Avvxsejqsn75Xmrm2Oj1Hdmcizi5Psbdh30Qshx Ycxxzbndxwkqtsyapm0C8Xn0Pk4Plsca7Qtufm6Egzaxqxtuf9Nxfpp9Seeqtkjtg6Kmeuvjaqe1E5Mucgtd8Boj5Gyjuejtxs6Jr2Nbll Kuaf 57Ssfozumm5E6X G9Lypmd6Vxs0Quehm Vt7Ueg
Trafic de balise Cobalt Strike

Bien que les acteurs malveillants puissent obtenir Cobalt Strike en achetant l’outil directement sur le site Web du fournisseur pour 3 500 $ par utilisateur pour une licence d’un an, il peut également être acheté sur le dark web via des forums de piratage clandestins, ou, alternativement, mettre la main sur des versions piratées et illégitimes du logiciel.

Dans la dernière campagne observée par Talos, l’exécution de la balise entraîne l’envoi par la machine victime de la requête DNS initiale à l’hôte appartenant au gouvernement, tandis que le trafic réel de commande et de contrôle (C2) est redirigé furtivement vers un attaquant contrôlé. serveur, imitant efficacement les modèles de trafic légitimes pour tenter d’échapper à la détection par les solutions de sécurité.

Prévenir Les Violations De Données

« Alors que le domaine C2 par défaut était spécifié comme www[.]mdn[.]gouvernement[.]mm, le trafic de la balise a été redirigé vers le test de facto C2[.]citron doux[.]net via HTTP Get et les métadonnées POST spécifiées dans la configuration de la balise « , ont déclaré les chercheurs.  » La requête DNS pour l’hôte initial se résout en une adresse IP appartenant à Cloudflare qui permet à l’attaquant d’utiliser le front de domaine et d’envoyer le trafic vers le C2 réel. test d’hôte[.]citron doux[.]net, également mandaté par Cloudflare. »

Le serveur C2, cependant, n’est plus actif, selon les chercheurs, qui ont noté qu’il s’agit d’un serveur Windows exécutant Internet Information Services (IIS).

« Le fronting de domaine peut être réalisé avec une redirection entre le serveur malveillant et la cible. Des acteurs malveillants peuvent utiliser à mauvais escient divers réseaux de diffusion de contenu (CDN) pour configurer des redirections de contenu de service vers le contenu servi par des hôtes C2 contrôlés par un attaquant », ont déclaré les chercheurs. . « Les défenseurs doivent surveiller leur trafic réseau même vers des domaines de grande réputation afin d’identifier les attaques potentielles de front de domaine avec Cobalt Strike et d’autres outils offensifs. »


Rate this post
Publicité
Article précédentLes plateformes de trading crypto accusées d’avoir enfreint les droits des investisseurs dans le cadre d’un plaidoyer en justice
Article suivantMeilleures offres informatiques du Black Friday en 2021
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici