Πως χρησιμοποιούν οι χάκερ το εργαλείο penetration testing Cobalt Strike

Νέα έρευνα δείχνει πώς το

Cobalt Strike

χρησιμοποιείται σε καμπάνιες που διασπείρουν malware, από το Trickbot banking Trojan έως το Bazar.

Δείτε επίσης:



Το



Conti


ransomware

στόχευσε και το



Υπουργείο Υγείας

της Ιρλανδίας!

Την Τετάρτη, η Intel 471 δημοσίευσε μια έκθεση που διερευνά την



κατάχρηση

του

Cobalt Strike

, ενός εργαλείου penetration testing που κυκλοφόρησε το 2012 και το οποίο μπορεί να χρησιμοποιηθεί για την



ανάπτυξη

beacons σε

συστήματα

προσομοίωσης επιθέσεων και σε δοκιμές άμυνας δικτύου.

Τον Ιανουάριο, αναλυτές

ασφαλείας

ανέφεραν ότι το

Cobalt Strike

, παράλληλα με το framework Metasploit, χρησιμοποιήθηκε για να φιλοξενήσει πάνω από το 25% όλων των κακόβουλων command-and-control (C2) servers που αναπτύχθηκαν το 2020.

Δείτε επίσης:



Η CISA δημοσίευσε λεπτομερή ανάλυση του FiveHands

ransomware

!

Το δημοφιλές κιτ penetration testing, του οποίου ο πηγαίος κώδικας για την έκδοση 4.0 φέρεται να διέρρευσε στο



διαδίκτυο

το 2020, έχει χρησιμοποιηθεί από διάφορους απειλητικούς παράγοντες για χρόνια και έχει γίνει



εργαλείο

διαφόρων ομάδων advanced persistent threat (APT), συμπεριλαμβανομένων των Carbanak και Cozy Bear.

Σύμφωνα με το Fox-IT, έχουν καταγραφεί χιλιάδες περιπτώσεις κατάχρησης του

Cobalt Strike

, αλλά οι περισσότεροι απειλητικοί παράγοντες χρησιμοποιούν σπασμένες ή παλιές εκδόσεις του λογισμικού.

Οι ερευνητές λένε ότι η υφιστάμενη



κατάχρηση

του

Cobalt Strike

έχει συνδεθεί με



εκστρατείες

που κυμαίνονται από την



ανάπτυξη


ransomware

έως και το data exfiltration, αλλά καθώς το



εργαλείο

επιτρέπει στους



χρήστες

να δημιουργούν εύπλαστες αρχιτεκτονικές C2, μπορεί να είναι περίπλοκο να εντοπιστούν οι κάτοχοι C2.

Ωστόσο, η ομάδα διεξήγαγε έρευνα σχετικά με τη

χρήση

του

Cobalt Strike

σε δραστηριότητες μετά το exploitation.

Το Trickbot επιλέχθηκε ως αφετηρία. Οι χειριστές του Trickbot banking Trojan έχουν χρησιμοποιήσει το

Cobalt Strike

σε



επιθέσεις

που χρονολογούνται από το 2019 – παράλληλα με τα Meterpreter και PowerShell Empire – καθώς και σε



επιθέσεις

που εντοπίστηκαν από την Walmart Global Tech και την SentinelLabs.

Η ομάδα Hancitor (MAN1/Moskalvzapoe/TA511), έχει επίσης αρχίσει να χρησιμοποιεί το

Cobalt Strike

. Επίσης, συνδέθηκε με την



ανάπτυξη

του Gozi Trojan και του Evil Pony και όπως σημειώνεται από το Palo Alto Networks, πρόσφατες μολύνσεις έχουν δείξει ότι αυτά τα εργαλεία έχουν αντικατασταθεί από το

Cobalt Strike

. Κατά τη διάρκεια των δραστηριοτήτων μετά το exploit, η ομάδα Hancitor αναπτύσσει είτε ένα Remote Access Trojan (

RAT

), information stealers ή, σε ορισμένες περιπτώσεις, spambot malware.

Μάθετε:



Συνεργασία Cuba

ransomware

με Hancitor malware για spam-



επιθέσεις

Οι ερευνητές διερευνούν επίσης τη

χρήση

του

Cobalt Strike

από απειλητικούς παράγοντες που διανέμουν το Qbot/Qakbot banking Trojan, εκ των οποίων το ένα από τα plugins – plugin_cobalt_power3 – ενεργοποιεί επιτρέπει το penetration testing



εργαλείο

.

Οι χειριστές διαφόρων παραλλαγών του SystemBC malware, όπως αναφέρθηκε από την Proofpoint, χρησιμοποιούν SOCKS5 proxies για να καλύψουν το traffic του δικτύου και έχουν συμπεριληφθεί ως payloads στα exploit-κιτ RIG και Fallout. Σύμφωνα με την Intel 471, οι χειριστές

ransomware

έχουν επίσης υιοθετήσει το SystemBC, το οποίο χρησιμοποιήσε το

Cobalt Strike

κατά τη διάρκεια των εκστρατειών του που λανσαρίστηκαν το 2020 και στις

αρχές

του 2021. Ωστόσο, αυτές οι πρόσφατες



εκστρατείες

δεν έχουν αποδοθεί σε συγκεκριμένους, γνωστούς απειλητικούς παράγοντες.

Επίσης, στις

αρχές

του 2021, οι



εκστρατείες

Bazar καταγράφηκαν ως



εκστρατείες

αποστολής και διανομής του

Cobalt Strike

και όχι των τυπικών Bazar loaders που χρησιμοποιούνταν από τους απειλητικούς παράγοντες στο παρελθόν.

Πηγή πληροφοριών: zdnet.com