#ИБ Операция FrostBeacon: Cobalt Strike, фишинг и CVE-2017-0199 Исследователи Seqrite Labs обнаружили целенаправленную кампанию вредоносного ПО под названием FrostBeacon, ориентированную на организации в Российской Федерации, преимущественно в финансовой и юридической сферах. Кампания сочетает технические приемы и социальную инженерию, используя несколько независимых цепочек заражения для доставки Cobalt Strike Beacons. Кластеры атаки и способы доставки Операция разделена на два основных кластера с разной тактикой распространения: Кластер 1: фишинговые письма содержат сжимаемые архивы, в которых находятся вредоносные ярлыки (LNK/shortcut). Архивы используются для маскировки полезной нагрузки и затруднения обнаружения. Кластер 2: вредоносные вложения в формате DOCX, эксплуатирующие уязвимость CVE-2017-0199. Эксплойт вызывает работу редактора формул и инициирует загрузку и выполнение remote HTA file, что обеспечивает дальнейшее проникновение. Механизм выполнения и уровни обфускации После успешного запуска начального вектора злоумышленники загружают стейджер Cobalt Strike по русскоязычному URL update.ecols.ru. Дополнительное расследование выявило более 40 похожих URL-адресов, используемых для распространения стейджера. Фаза выполнения включает следующие характерные приемы: Запуск команд PowerShell в скрытом режиме, что снижает видимость активности для пользователей. Использование символного запутывания для активации mshta.exe — пример: m ^ s ^ h ^ t ^ a, что помогает инициировать загрузку и выполнение удаленных HTA-пакетов. Трехуровневая обфускация полезной нагрузки на стороне PowerShell: исходный этап представлен как сжатая с помощью gzip строка в кодировке Base64, встроенная в MemoryStream. После распаковки формируется вторичный скрипт PowerShell с критическими функциями для продвижения атаки и разворачивания финальной полезной нагрузки. Социальная инженерия: фишинговые шаблоны Электронные письма имитируют официальные требования о погашении долга и создают ощущение срочности и законности. Типичный сценарий включает: Угрозы судебным иском при неуплате в установленный срок. Использование точных формулировок контрактов и требований. Требование отправки заверенных документов по почте на «официальный» адрес для подтверждения легитимности запроса. Такая комбинация страха перед штрафами и кажущейся формальной корректности повышает вероятность того, что пользователь откроет вложение или распакует архив, тем самым запуская цепочку заражения. Индикаторы компрометации (IoC) Стейджер: update.ecols.ru и более 40 похожих URL-адресов. Использование уязвимости: CVE-2017-0199 (вредоносные DOCX → remote HTA). Вложения: сжимаемые архивы с вредоносными ярлыками и вредоносные файлы DOCX. Запуск скрытых PowerShell команд и обфусцированное использование mshta.exe (например, «m ^ s ^ h ^ t ^ a»). Трехуровневая обфускация: Base64 → gzip → MemoryStream → вторичный PowerShell-скрипт. Рекомендации по защите Обновить программное обеспечение и применить патчи, в том числе устранение уязвимостей, связанных с CVE-2017-0199. Отключить или ограничить использование mshta.exe, если это возможно, либо контролировать его запуск с помощью политики приложения. Настроить фильтрацию почты и sandbox-анализ вложений: блокировать неизвестные архивы и подозрительные DOCX-файлы. Обучать сотрудников распознавать фишинговые письма, особенно сообщения с требованиями оплаты и угрозами судебных действий. Настроить мониторинг и EDR-правила для обнаружения скрытых запусков PowerShell, цепочек обфускации и сетевых соединений к подозрительным URL. Блокировать и отслеживать доступ к известным вредоносным доменам (включая update.ecols.ru и похожие паттерны). По данным Seqrite Labs, «кампания использует многоуровневую стратегию заражения и сохраняет эффективность за счет сочетания технических приёмов и тщательно спланированной социальной инженерии». Вывод Операция FrostBeacon демонстрирует, что даже устаревшие уязвимости, такие как CVE-2017-0199, остаются эффективным инструментом при грамотной комбинации с современными техниками доставки и глубокой обфускацией. Особую опасность представляют целевые фишинговые рассылки, направленные на финансовые и юридические организации: они используют контекст легитимных контрактных обязательств, чтобы вынудить пользователя выполнить опасные действия. Для снижения рисков необходим комплексный подход: обновления, технические ограничения, фильтрация почты и обучение персонала. Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке . Source: https://cisoclub.ru/operacija-frostbeacon-cobalt-strike-fishing-i-cve-2017-0199/