23/11/22
Согласно отчету Google Cloud Threat Intelligence (GCTI), специалисты обнаружили взломанные версии Cobalt Strike с 1.44 до 4.7, которые насчитывают 275 уникальных JAR-файлов. Последняя версия Cobalt Strike – 4.7.2.
Cobalt Strike, напоминает Securitylab – это легитимный коммерческий инструмент, созданный для пентестеров и red team, который набрал популярность и у хакеров всех мастей – от APT-группировок до операторов вымогательского ПО.
Инструмент состоит из сервера Team Server, выполняющего функции C&C-сервера для управления зараженными устройствами, и стейджера, предназначенного для развертывания “маяков” (beacon), с помощью которых злоумышленники могут красть данные жертв и развертывать дополнительное вредоносное ПО.
Учитывая широкий набор функций и высокую цену ($3500 за лицензию), пиратские версии Cobalt Strike все чаще используются разными группировками киберпреступников для постэксплуатации.
И хотя целью инструмента является имитация реальной кибератаки, хакеры цепляются за его возможности, используют его для бокового перемещения в сетях жертв и развертывания ПО на втором этапе атаки. Для борьбы с этим GCTI выпустила набор правил YARA с открытым исходным кодом, в которых записаны различные версии ПО, используемого киберпреступниками.
Как говорят специалисты из GCTI, это должно помочь отсеять “плохие” версии, при этом оставив нетронутыми легитимные. Это один из шагов по возвращению инструмента в сферу деятельности red team и усложнению использования Cobalt Strike хакерами.
