Actores de amenazas están abusando de MSBuild para implantar Cobalt Strike Beacons

Se han descubierto campañas maliciosas que abusan de Microsoft Build Engine (MSBuild).

Los expertos advierten sobre campañas maliciosas que abusan de Microsoft Build Engine (MSBuild) para ejecutar una carga útil de Cobalt Strike en sistemas comprometidos.

El experto en seguridad de Morphus Labs observó recientemente varias campañas maliciosas que abusan de Microsoft Build Engine (MSBuild) para ejecutar una carga útil de Cobalt Strike en máquinas comprometidas.

MSBuild es un conjunto de herramientas de compilación gratuito y de código abierto para código administrado, así como código nativo C ++ y era parte de .NET Framework.

Se utiliza para crear aplicaciones y ofrece a los usuarios un esquema XML que controla cómo la plataforma de creación procesa y crea software para distribuir malware mediante devoluciones de llamada.

El investigador de seguridad de Morphus Labs y el controlador de SANS Internet Storm Center (ISC), Renato Marinho, reveló haber descubierto dos campañas maliciosas diferentes que estaban abusando de MSBuild para la ejecución de código.

El proyecto malicioso MSBuild empleado en los ataques fue diseñado para compilar y ejecutar código C # específico que a su vez decodifica y ejecuta la carga útil de Cobalt Strike.

«Ahora, veamos el archivo de proyecto malicioso de MSBuild en la Figura 3. Usando el mismo principio, cuando MSBuild lo llama, compilará y ejecutará el C # personalizado, decodificará y ejecutará la baliza Cobalt Strike en la máquina de la víctima». escribió Marinho.

malicious msbuild project

En el escenario de ataque descrito por el investigador, los atacantes inicialmente obtuvieron acceso al entorno de destino utilizando una cuenta de protocolo de escritorio remoto (RDP) válida, luego aprovecharon los servicios remotos de Windows (SCM) para el movimiento lateral y MSBuild para ejecutar la carga útil Cobalt Strike Beacon .

La baliza (Beacons) se utilizó para descifrar la comunicación con el servidor C2, que estaba cifrado con SSL.