Νέα έρευνα δείχνει πώς το Cobalt Strike χρησιμοποιείται σε καμπάνιες που διασπείρουν malware, από το Trickbot banking Trojan έως το Bazar.
Δείτε επίσης: Το Conti ransomware στόχευσε και το Υπουργείο Υγείας της Ιρλανδίας!
Την Τετάρτη, η Intel 471 δημοσίευσε μια έκθεση που διερευνά την κατάχρηση του Cobalt Strike, ενός εργαλείου penetration testing που κυκλοφόρησε το 2012 και το οποίο μπορεί να χρησιμοποιηθεί για την ανάπτυξη beacons σε συστήματα προσομοίωσης επιθέσεων και σε δοκιμές άμυνας δικτύου.
Τον Ιανουάριο, αναλυτές ασφαλείας ανέφεραν ότι το Cobalt Strike, παράλληλα με το framework Metasploit, χρησιμοποιήθηκε για να φιλοξενήσει πάνω από το 25% όλων των κακόβουλων command-and-control (C2) servers που αναπτύχθηκαν το 2020.
Δείτε επίσης: Η CISA δημοσίευσε λεπτομερή ανάλυση του FiveHands ransomware!
Το δημοφιλές κιτ penetration testing, του οποίου ο πηγαίος κώδικας για την έκδοση 4.0 φέρεται να διέρρευσε στο διαδίκτυο το 2020, έχει χρησιμοποιηθεί από διάφορους απειλητικούς παράγοντες για χρόνια και έχει γίνει εργαλείο διαφόρων ομάδων advanced persistent threat (APT), συμπεριλαμβανομένων των Carbanak και Cozy Bear.
Σύμφωνα με το Fox-IT, έχουν καταγραφεί χιλιάδες περιπτώσεις κατάχρησης του Cobalt Strike, αλλά οι περισσότεροι απειλητικοί παράγοντες χρησιμοποιούν σπασμένες ή παλιές εκδόσεις του λογισμικού.
Οι ερευνητές λένε ότι η υφιστάμενη κατάχρηση του Cobalt Strike έχει συνδεθεί με εκστρατείες που κυμαίνονται από την ανάπτυξη ransomware έως και το data exfiltration, αλλά καθώς το εργαλείο επιτρέπει στους χρήστες να δημιουργούν εύπλαστες αρχιτεκτονικές C2, μπορεί να είναι περίπλοκο να εντοπιστούν οι κάτοχοι C2.
Ωστόσο, η ομάδα διεξήγαγε έρευνα σχετικά με τη χρήση του Cobalt Strike σε δραστηριότητες μετά το exploitation.
Το Trickbot επιλέχθηκε ως αφετηρία. Οι χειριστές του Trickbot banking Trojan έχουν χρησιμοποιήσει το Cobalt Strike σε επιθέσεις που χρονολογούνται από το 2019 – παράλληλα με τα Meterpreter και PowerShell Empire – καθώς και σε επιθέσεις που εντοπίστηκαν από την Walmart Global Tech και την SentinelLabs.
Η ομάδα Hancitor (MAN1/Moskalvzapoe/TA511), έχει επίσης αρχίσει να χρησιμοποιεί το Cobalt Strike. Επίσης, συνδέθηκε με την ανάπτυξη του Gozi Trojan και του Evil Pony και όπως σημειώνεται από το Palo Alto Networks, πρόσφατες μολύνσεις έχουν δείξει ότι αυτά τα εργαλεία έχουν αντικατασταθεί από το Cobalt Strike. Κατά τη διάρκεια των δραστηριοτήτων μετά το exploit, η ομάδα Hancitor αναπτύσσει είτε ένα Remote Access Trojan (RAT), information stealers ή, σε ορισμένες περιπτώσεις, spambot malware.
Μάθετε: Συνεργασία Cuba ransomware με Hancitor malware για spam-επιθέσεις
Οι ερευνητές διερευνούν επίσης τη χρήση του Cobalt Strike από απειλητικούς παράγοντες που διανέμουν το Qbot/Qakbot banking Trojan, εκ των οποίων το ένα από τα plugins – plugin_cobalt_power3 – ενεργοποιεί επιτρέπει το penetration testing εργαλείο.
Οι χειριστές διαφόρων παραλλαγών του SystemBC malware, όπως αναφέρθηκε από την Proofpoint, χρησιμοποιούν SOCKS5 proxies για να καλύψουν το traffic του δικτύου και έχουν συμπεριληφθεί ως payloads στα exploit-κιτ RIG και Fallout. Σύμφωνα με την Intel 471, οι χειριστές ransomware έχουν επίσης υιοθετήσει το SystemBC, το οποίο χρησιμοποιήσε το Cobalt Strike κατά τη διάρκεια των εκστρατειών του που λανσαρίστηκαν το 2020 και στις αρχές του 2021. Ωστόσο, αυτές οι πρόσφατες εκστρατείες δεν έχουν αποδοθεί σε συγκεκριμένους, γνωστούς απειλητικούς παράγοντες.
Επίσης, στις αρχές του 2021, οι εκστρατείες Bazar καταγράφηκαν ως εκστρατείες αποστολής και διανομής του Cobalt Strike και όχι των τυπικών Bazar loaders που χρησιμοποιούνταν από τους απειλητικούς παράγοντες στο παρελθόν.
Πηγή πληροφοριών: zdnet.com
