در کمپین‌های مخربی که به تازگی مشاهده شده‌اند، از Microsoft Build Engine (MSBuild) برای اجرای payload متعلق به Cobalt Strike بر روی دستگاه‌های آسیب دیده سواستفاده گردیده است.

اساساً MSBuild که برای ایجاد برنامه‌های کاربردی در ویندوز طراحی شده است، از یک عنصر فایل پروژه به نام «Tasks» برای تعیین مؤلفه‌هایی که در حین ساخت پروژه اجرا می‌شوند، استفاده می‌کند و عوامل تهدید از این Task‌ها برای اجرای کد‌های مخرب در قالب MSBuild سواستفاده می‌کنند.

محقق امنیتی Morphus Labs و مدیر مرکز SANS Internet Storm (ISC) رناتو مارینیو اعلام کرد که دو کمپین مخرب مختلف مشاهده شده است که از MSBuild برای اجرای کد سواستفاده می‌کرده‌اند.

عوامل تهدید معمولاً با استفاده از یک حساب پروتکل دسکتاپ راه دور معتبر (RDP) به محیط هدف دسترسی پیدا می‌کنند، از خدمات ویندوز از راه دور (SCM) برای تحرکات جانبی استفاده می‌کنند و از MSBuild برای اجرای payload متعلق به Cobalt Strike Beacon سواستفاده می‌نمایند.

پروژه مخرب MSBuild برای کامپایل و اجرای کد‌های C# بخصوصی طراحی شده است که به نوبه خود Cobalt Strike را رمزگشایی و اجرا می‌کند.

مارینیو همچنین می‌گوید که پس از تأیید اینکه واقعاً از Beacon در این حمله استفاده شده است، او می‌تواند ارتباط با سرور command-and-control (C&C) را که رمزگذاری SSL شده بود، رمزگشایی نماید.

این محقق همچنین خاطرنشان کرد که برای محافظت از چنین حملاتی، سازمان‌ها باید سیاست Windows Defender Application Control (WDAC) را تنظیم کنند تا برنامه‌های تأیید شده توسط مایکرؤسافت را که می‌توانند امکان اجرای کد‌های دیگر را فراهم کنند، مسدود کنند. MSBuild لیستی از این برنامه‌ها را ارائه داده است.

مارینیو در پایان بیان داشت: «یک نکته در MSBuild.exe وجود دارد که اگر از سیستم در زمینه توسعه برای ساخت برنامه‌های مدیریت‌شده استفاده می‌گردد، توصیه می‌شود که MSBuild.exe در پالیسی‌های یکپارچه کد مجاز قرار گیرد».