Cobalt Strike Beacon a közösségi médiából
A Kaspersky GReAT egy új, kifinomult kampányról számolt be, amelyben a Cobalt Strike Beacon eszközt használták fel hosszú távú hálózati hozzáféréshez, és a terjesztéshez legitim platformokat – mint a GitHub, Microsoft Learn Challenge, Quora és orosz közösségi média oldalak – vettek igénybe, hogy elrejtsék a központi parancsfuttató kód URL-jeit.
A támadás első szakasza spear‑phishing levelekkel indult, amelyek nagy, állami tulajdonú ipari cégek nevében érkeztek – különösen az olaj- és gáziparból –, álcázva hamis üzleti igényként. A csomag RAR tömörített fájlokat tartalmazott, amelyekben PDF-szerű fájlokat rejtettek el, valójában EXE és DLL elemekként álcázva, melyek egy .lnk általi végrehajtással kerültek letöltésre és futtatásra.
A műveletek központi eleme a DLL hijacking technika volt, a támadók átnevezték a BugSplat crash jelentésküldő segédprogramját (BsSndRpt.exe → nau.exe), és helyette egy saját DLL‑t – BugSplatRc64.dll – tettek be, ami rejtélyesen betöltött kódként működött a rendszerben. Ezt dinamikus API-felbontással (obfuscation, XOR/CRC-szerű hashelés) kombinálták, hogy elkerüljék a sandbox vagy statikus antivirus elemzést.
A kihasználás során a végrehajtott kód HTML-t húzott le korábban létrehozott profilokra hivatkozó oldalakról – például GitHub vagy Quora profilok –, melyek beágyazott, XOR+kódolt URL-eket tartalmaztak az újabb shellcode-hoz. Ezután a shellcode memóriába tók be egy Cobalt Strike Beacon payloadot, amely végül a C2 szerverrel kommunikálva fenntartotta az irányítást a fertőzött rendszeren.
A kampány elsősorban orosz IT cégeket célzott 2024 második felében, de érintett szervezeteket találtak Kínában, Japánban, Malajziában és Peruban is. Az esemény egészen 2025 áprilisáig aktív volt, ami komplex és tartós fenyegetési jelenlétet feltételez.
A jelentés külön hangsúlyozza, hogy a támadók kizárólag célzottan létrehozott profilokat használtak – nem élő felhasználók fiókjait –, ami vizuális elterelésként szolgált, ám a módszer továbbfejleszthető lenne akár élő kommentárok vagy felhasználói interakciók kihasználásával is.
