Google обнаружила 34 взломанные версии Cobalt Strike в дикой природе

Согласно отчету Google Cloud Threat Intelligence (GCTI), специалисты обнаружили взломанные версии Cobalt Strike с 1.44 до 4.7, которые насчитывают 275 уникальных JAR-файлов. Последняя версия Cobalt Strike – 4.7.2.

Cobalt Strike – это легитимный коммерческий инструмент, созданный для пентестеров и red team и ориентированный на эксплуатацию и постэксплуатацию. Однако он набрал популярность и у хакеров всех мастей – от APT-группировок до операторов вымогательского ПО.

Инструмент состоит из сервера Team Server, выполняющего функции C&C-сервера для управления зараженными устройствами, и стейджера, предназначенного для развертывания “маяков” (beacon), с помощью которых злоумышленники могут красть данные жертв и развертывать дополнительное вредоносное ПО.

Учитывая широкий набор функций и высокую цену ($3500 за лицензию), пиратские версии Cobalt Strike все чаще используются разными группировками киберпреступников для постэксплуатации.

И хотя целью инструмента является имитация реальной кибератаки, хакеры цепляются за его возможности, используют его для бокового перемещения в сетях жертв и развертывания ПО на втором этапе атаки. Для борьбы с этим GCTI выпустила набор правил YARA с открытым исходным кодом, в которых записаны различные версии ПО, используемого киберпреступниками.

Как говорят специалисты из GCTI, это должно помочь отсеять “плохие” версии, при этом оставив нетронутыми легитимные. Это один из шагов по возвращению инструмента в сферу деятельности red team и усложнению использования Cobalt Strike хакерами.