Et stk Cobalt Strike i Honeypotten på jagt efter Ivanti installationer
Denne nye Cobalt Strike er aktiv i Danmark og hoppede i min honeypot i nat. Her kigger jeg lidt nærmere på denne variant der tjener som redskab til at skubbe ransomware eller cryptominere ud. Så langt kom de nu ikke, da de angiveligt spottede konfigurationen var fake.
Kommunikationen, som anvendes af denne Cobalt Strike, er obfuskeret med "malleable" C&C data transforms.
Den anvender en default malleable instruktion som er "print", og det betyder kort sagt, at det krypterede data modtages som det er, af BS beacon'en, således at den ikke behøver at transformere noget input før data dekrypteres. Det blot, så man forstår outputtet af konfigurationen herunder, og særligt begrebet "Malleable_C2_Instructions".
Se skærmdump af den komplette konfiguration herunder:
Dens parent er (SHA256: 74acf4bb260442b575842efe502cd03bc743293ad0c1d8a4f4951ec9e8aff3ed) og droppes manuelt efter at serveren er blevet kompromitteret.
Cobalt Strike C&C i England
C&C serveren lytter på (saniteret) 45.133.238[.]41 og det er en
C&C hostet hos Rhino Cloud i England:
organisation: ORG-RCL26-RIPE
org-name: RHINO CLOUD LTD
country: GB
org-type: LIR
address: Kemp House, 160 City Road
address: EC1V 2NX
address: London
address: UNITED KINGDOM
phone: +442076897888
admin-c: RLTD-RIPE
tech-c: RLTD-RIPE
abuse-c: RLTD-RIPE
mnt-by: RIPE-NCC-HM-MNT
mnt-by: RHINOCLOUD-MNT
created: 2019-09-25T04:35:25Z
last-modified: 2023-07-26T07:20:26Z
source: RIPE # Filtered
mnt-ref: RHINOCLOUD-MNT
Denne IP er observeret i forbindelse med omfattende kompromittering af sårbare Ivanti
servere og med tydeligt afsæt i aktivitet fra Kina (se skærmdumps)
Payload URLs (saniteret)
https://45.130.22[.]219/ivanti
https://45.130.22[.]219/ivanti.js
https://103.233.11[.]5:1999/doc
https://124.156.132[.]142:6999/python
https://137.220.130[.]2/doc
https://85.106.119[.]0
0pdateringer til denne CS sker via (saniteret af CSIS)
https://45.133.238[.]41/IE9CompatViewList.xml
C&C post gateway:
https://45.133.238[.]41/submit.php
Relationer (SHA256):
36b142d9c5828d959c88c53dcbe1301a1c970edcda0beeccc51c0150dd122dc6
d1a52921055f3e2d8fcf701485da1a48f6c0ea08262a4b58a77b678fd3d7bd33
fd3bf1f4434ace601fa2aab9a3a4888d78b2ba8ebdf4f54d2b47c43bc4603935
b84be20d94f51c85cb6acb4f0f94aa29e2089f24952219d47c376a1599e05876
171053d63d5ed31b6cef423441f451d71e5d28f283afa663c6924bc560048605