Ето как инструментът за тестване за проникване на Cobalt Strike се злоупотребява от киберпрестъпниците

Ново изследване показва как Cobalt Strike се оръжи в кампании за внедряване на зловреден софтуер, вариращ от банковия троянския Trickbot до Bazar.

В сряда Intel 471 публикува доклад изследване на злоупотребата с Cobalt Strike, търговски инструмент за тестване на проникване, пуснат през 2012 г., който може да се използва за разполагане на маяци в системи за симулиране на атаки и тестване на мрежова защита

През януари анализаторите на сигурността заявиха, че Cobalt Strike, заедно с рамката на Metasploit, е била използвана за хостване на над 25% от всички злонамерени сървъри за управление и управление (C2), внедрени през 2020 г.

Популярният комплект за тестване на проникване, за който се твърди, че е изходният код за версия 4.0 изтече онлайн през 2020 г. е злоупотребяван от участници в заплахата от години и се е превърнал в инструмент за напреднали групи за постоянна заплаха (APT), включително Carbanak и Cozy Bear.

Според Fox-IT са регистрирани хиляди случаи на злоупотреба с Cobalt Strike, но повечето участници в заплахата ще използват наследени, пиратски или напукани копия на софтуера.

„Cobalt Strike се превърна в много често срещан полезен товар от втори етап за много зловредни кампании в много семейства зловреден софтуер,“ отбелязва Intel 471. „Достъпът до този мощен и изключително гъвкав инструмент е ограничен от разработчиците на продукта, но изтекли версии отдавна се разпространяват в интернет.“

Изследователите казват, че съществуващата злоупотреба с Cobalt Strike е свързана с кампании, вариращи от внедряване на рансъмуер до наблюдение и извличане на данни, но тъй като инструментът позволява на потребителите да създават податливи C2 архитектури, може да бъде сложно да се проследят собствениците на C2.

Екипът обаче е провел разследване за използването на Cobalt Strike в дейности след експлоатация.

За отправна точка беше избран Trickbot. Троянските оператори на Trickbot bank са отказали Cobalt Strike в атаки датиращи от 2019г – заедно с Meterpreter и PowerShell Empire – както и при атаки, проследени от Walmart Global Tech и SentinelLabs.

Групата Hancitor (MAN1 / Moskalvzapoe / TA511) също вече започна да използва Cobalt Strike. Веднъж свързан с разполагането на Gozi Trojan и Evil Pony крадец на информация, както отбелязва Пало Алто Мрежи, последните инфекции показват, че тези инструменти са заменени с Cobalt Strike. По време на дейности след експлойт, Hancitor ще разположи или троянец за отдалечен достъп (RAT), кражби на информация или, в някои случаи, злонамерен софтуер за спам ботове.

„Групата, създаваща сървърите на екипа на Cobalt Strike, свързани с Hancitor, предпочита да хоства своите CS маяци на хостове без домейн,“ казва Intel 471. “CS маяците ще извикват начало към същия набор от IP адреси. Стаджерите се изтеглят от инфраструктура, създадена чрез непробиваема хостинг услуга Yalishanda. Важно е да се отбележи, че Hancitor пуска Cobalt Strike само на машини, които са свързани към домейн на Windows. Когато това условие не е изпълнено, Hancitor може да пусне SendSafe (спам бот), Onliner IMAP контролер или крадец на информация Ficker. ”

Изследователите също така изследват използването на Cobalt Strike от актьори на заплахи, разпространяващи банковия троянец Qbot / Qakbot, от които един от приставките – plugin_cobalt_power3 – дава възможност за инструмент за тестване на писалката.

„Конфигурацията, извлечена от свързания с Qbot фар Cobalt Strike, не показва никакви връзки към други групи, за които сме наясно“, се посочва в доклада. „Когато сравнявахме тази дейност с мостри, докладвани от други изследователи, ние наблюдавахме различни използвани обществени профили на Malleable-C2, но общи черти в хостинг инфраструктурата.“

Оператори на варианти на зловреден софтуер SystemBC, as докладвано от Proofpoint, използва SOCKS5 прокси за маскиране на мрежовия трафик и са включени като полезен товар както в експлоатационните комплекти RIG, така и в Fallout. Според Intel 471 операторите на рансъмуер също са възприели SystemBC, който е отказал Cobalt Strike по време на кампании през 2020 г. и началото на 2021 г. Екипът обаче не е приписал тези скорошни кампании на конкретни, известни участници в заплахата.

Също така трябва да се отбележи, в началото на 2021 г., Bazar кампании са записани като изпращане и разпространение на Cobalt Strike, а не като типични товарачи на Bazar, използвани от участниците в заплахата в миналото.

„Cobalt Strike е мощен инструмент, който се използва от хората, който изобщо не бива да го използва: нарастващ брой киберпрестъпници“, казват изследователите. “Въпреки това, не всички внедрявания на Cobalt Strike са еднакви. Някои разполагания демонстрират лоша оперативна сигурност, като използват повторно инфраструктурата и не променят своите податливи C2 профили. Освен това някои оператори пускат Cobalt Strike на много заразени системи, докато други ще използвайте инструмента много селективно. ”


Имате съвет? Свържете се сигурно чрез WhatsApp | Сигнал на +447713 025 499 или повече в Keybase: charlie0


Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com