Οι ερευνητές ασφαλείας ανακάλυψαν τρωτά σημεία Cobalt Strike denial of service (DoS) που επιτρέπουν τον αποκλεισμό καναλιών επικοινωνίας beacon command-and-control (C2) και νέα deployments.
Το Cobalt Strike είναι ένα νόμιμο εργαλείο penetration testing που έχει σχεδιαστεί για να χρησιμοποιηθεί ως πλαίσιο επίθεσης από red teams (ομάδες επαγγελματιών ασφαλείας που λειτουργούν ως επιτιθέμενοι στην υποδομή του οργανισμού τους για να ανακαλύψουν κενά και τρωτά σημεία ασφαλείας.)
Δείτε επίσης: Hackers συνδυάζουν ransomware και DDoS επιθέσεις για να στοχεύσουν θύματα
Ωστόσο, το Cobalt Strike χρησιμοποιείται και από απειλητικούς φορείς (που χρησιμοποιούνται συνήθως κατά τη διάρκεια επιθέσεων ransomware) για εργασίες μετά το exploit μετά την ανάπτυξη των λεγόμενων beacons, που τους παρέχουν επίμονη απομακρυσμένη πρόσβαση σε παραβιασμένες συσκευές.
Οι κομήτες έπαιξαν «μείζονα» ρόλο για τη ζωή στη Γη
Πεντάγωνο: Τι συμβαίνει με τα μυστήρια drones στο New Jersey
RT-G Robot: Νέα Εποχή στην Καταπολέμηση Εγκλήματος
Χρησιμοποιώντας αυτά τα beacons, οι επιτιθέμενοι μπορούν αργότερα να αποκτήσουν πρόσβαση στους παραβιασμένους servers για να συλλέξουν δεδομένα ή να αναπτύξουν malware payloads δεύτερου σταδίου.
Δείτε επίσης: Google: Χρησιμοποιεί μηχανική μάθηση για να αποτρέψει DDoS επιθέσεις
Στόχοι στην υποδομή των επιτιθέμενων
Η SentinelLabs (η ερευνητική ομάδα απειλών στο SentinelOne) διαπίστωσε ότι τα τρωτά σημεία του DoS συλλέχθηκαν συλλογικά ως CVE-2021-36798 (και ονομάστηκαν Hotcobalt) στις τελευταίες εκδόσεις του server του Cobalt Strike.
Όπως ανακάλυψαν, κάποιος μπορεί να καταχωρήσει ψεύτικα beacons στον server μιας συγκεκριμένης εγκατάστασης Cobalt Strike. Με την αποστολή ψεύτικων task στον server, μπορεί κανείς να «κρασάρει» τον server εξαντλώντας τη διαθέσιμη μνήμη.
Το crash μπορεί να καταστήσει τα ήδη εγκατεστημένα beacons που δεν μπορούν να επικοινωνήσουν με τον C2 server, να εμποδίσει την εγκατάσταση νέων beacons σε διηθημένα συστήματα και να επηρεάσει τις τρέχουσες λειτουργίες της red team (ή κακόβουλων) που χρησιμοποίησαν τα αναπτυγμένα beacons.
Δεδομένου ότι το Cobalt Strike χρησιμοποιείται επίσης σε μεγάλο βαθμό από απειλητικούς φορείς για διάφορους κακούς σκοπούς, οι ερευνητές επιβολής του νόμου και ασφάλειας μπορούν επίσης να χρησιμοποιήσουν τα τρωτά σημεία Hotcobalt για να “γκρεμίσουν” την κακόβουλη υποδομή.
Δείτε επίσης: 2021: 2,9 εκατομμύρια DDoS επιθέσεις τους τρεις πρώτους μήνες
Στις 20 Απριλίου, η SentinelLabs αποκάλυψε τα τρωτά σημεία στη μητρική εταιρεία της CobaltStrike HelpSystems, η οποία τα αντιμετώπισε στο Cobalt Strike 4.4, που κυκλοφόρησε νωρίτερα σήμερα.
Πηγή πληροφοριών: bleepingcomputer.com