针对求职者的新恶意软件活动，使用钴打击信标

一项利用以工作为主题的诱饵的社会工程活动正在将Microsoft Office中一个存在多年的远程代码执行漏洞武器化，以便在受到威胁的主机上部署Cobalt Strike信标。

Cisco Talos研究人员Chetan Raghuprasad和Vanja Svajcer在周三发表的一份新分析中表示：“发现的有效载荷是钴击信标的泄露版本”。

信标配置包含用于执行任意二进制文件的目标进程注入的命令，并配置了高信誉域，展示了伪装信标流量的重定向技术。

该恶意活动于2022年8月被发现，试图利用漏洞CVE-2017-0199进行攻击，该漏洞是Microsoft Office中的远程代码执行问题，允许攻击者控制受影响的系统。

攻击的入口向量是一封包含Microsoft Word附件的钓鱼电子邮件，该附件使用以工作为主题的诱饵担任美国政府和公共服务协会（位于新西兰的一个工会）的角色。

Cobalt Strike信标远不是唯一部署的恶意软件样本，因为Cisco Talos表示，它还观察到Redline Stealer和Amadey僵尸网络可执行文件被用作攻击链另一端的有效载荷。

这家网络安全公司称攻击方法“高度模块化”，该公司表示，该活动还因其使用Bitbucket存储库来托管恶意内容而引人注目，这是下载负责部署Cobalt Strike DLL信标的Windows可执行文件的起点。

在另一种攻击序列中，Bitbucket存储库充当了一个管道，用于传递混淆的VB和PowerShell下载器脚本，以安装托管在不同Bitbudge帐户上的信标。

研究人员说：“这场运动是一个典型的威胁行为体使用在受害者的系统内存中生成和执行恶意脚本的技术的例子”。

“各组织应时刻警惕Cobalt Strike信标，并实施分层防御能力，以在攻击感染链的早期阶段挫败攻击者的企图”。