Маштабная кампания по заражению компьютеров с использованием Cobalt Strike и Minhook DLL.

Компания Sophos отслеживала атаку на своих клиентов в конце 2023 года и в начале 2024 года, выявив использование библиотеки Minhook DLL для обхода вызовов Windows API и появление Cobalt Strike как полезной нагрузки.

Описание

В результате расследования обнаружено, что кампания сместила свое внимание с дальневосточного региона в Швецию, причем исполнительный файл боковой загрузки выхватывался из зараженной системы. Несмотря на использование компрометированной цифровой подписи для компонентов, исследование продолжается, обогащая полученные знания. Были замечены подобные инциденты в Китае и Тайване, где C2-соединения с серверами Cobalt Strike были обнаружены внутри Windows-сервисов, таких как Miracast.

В ходе исследования случаев боковой загрузки MiracastView, Shellcode/C2Interceptor установил соединение с сервером Cobalt Strike. Анализируя чистые и вредоносные загрузчики, а также файлы полезной нагрузки, обнаружены связи с C2-серверами, свидетельствующими о проникновении Cobalt Strike. В случае с боковой загрузкой PrintDialog, было выявлено использование легитимного установщика LetsTalkApplication, предположительно распространяемого через чат-приложение от тайваньской компании. Также был обнаружен сценарий боковой загрузки SystemSettings со схожими компонентами вредоносной активности.

Исследование позволило выявить общие элементы в разных случаях боковой загрузки, включая использование конкретных файлов полезной нагрузки и C2-соединений с серверами Cobalt Strike. Несмотря на сложность восстановления вредоносных файлов, анализ имеющейся информации позволяет предположить одинакового создателя компонентов во всех инцидентах.