Cobalt Strike: любимый инструмент от APT до Crimeware

отредактировано September 2021 Раздел: Вирусы & Антивирусы
Ключевые результаты

Злонамеренное использование Cobalt Strike в кампаниях злоумышленников увеличивается.
Использование Cobalt Strike субъектами угрозы увеличилось на 161% с 2019 по 2020 год и останется крупномасштабной угрозой в 2021 году.
Cobalt Strike в настоящее время используется больше операторами киберпреступности и массового вредоносного ПО, чем злоумышленниками APT и шпионажем.

Обзор

В 2021 году Cobalt Strike будет появляться в данных об угрозах Proofpoint чаще, чем когда-либо. Cobalt Strike - это законный инструмент безопасности, используемый тестировщиками на проникновение для имитации активности злоумышленников в сети. Тем не менее, он также все чаще используется злоумышленниками - согласно Proofpoint использование этого инструмента злоумышленниками с 2019 по 2020 год увеличилось на 161%. Это согласуется с наблюдениями других фирм по безопасности, поскольку все больше злоумышленников применяют хакерские инструменты в своей деятельности.

При сопоставлении со структурой MITRE ATT & CK видимость цепочки атак Proofpoint фокусируется на механизмах начального доступа, выполнения и устойчивости. То есть: как злоумышленники пытаются скомпрометировать хосты и какие полезные нагрузки развертывают в первую очередь? Основываясь на наших данных, Proofpoint с высокой степенью уверенности оценивает, что Cobalt Strike становится все более популярным среди злоумышленников в качестве полезной нагрузки начального доступа, а не просто второстепенного инструмента, который злоумышленники используют после получения доступа, при этом преступники составляют основную часть использования Cobalt Strike в 2020 году.

Задний план

В декабре 2020 года мир узнал о масштабной и эффективной шпионской кампании, которая успешно использовала популярное программное обеспечение для мониторинга сети SolarWinds. Следователи выявили инструменты, используемые злоумышленниками, в том числе Cobalt Strike Beacon. Эта кампания была приписана группе, имеющей Cobalt Strike в своем арсенале как минимум с 2018 года. Эта масштабная деятельность была частью продуманной цепочки атак, позволяющей продвинутым злоумышленникам тайно скомпрометировать относительно небольшое число жертв. Используемому инструменту, настроенному в соответствии с их потребностями, почти десять лет, но он становится все более популярным.

Cobalt Strike дебютировал в 2012 году в ответ на очевидные пробелы в существующем инструменте REd Team - Metasploit Framework. В 2015 году Cobalt Strike 3.0 была запущена как автономная платформа для эмуляции противников. К 2016 году исследователи Proofpoint начали наблюдать за злоумышленниками, использующими Cobalt Strike.

Исторически, использование Cobalt Strike в злонамеренных операциях в значительной степени было связано с хорошо обеспеченными ресурсами субъектами угроз, в том числе крупными операторами киберпреступности, такими как TA3546 (также известными как FIN7), и группами сложных постоянных угроз (APT), такими как TA423 (также известные как Leviathan или APT40). Исследователи Proofpoint отнесли две трети идентифицированных кампаний Cobalt Strike с 2016 по 2018 год к хорошо обеспеченным ресурсами организациям, занимающимся киберпреступностью, или группам APT. В последующие годы это соотношение резко снизилось - с 2019 года по настоящее время только 15 процентов кампаний Cobalt Strike были связаны с известными злоумышленниками.

Злоумышленники могут получить Cobalt Strike разными способами: приобрести его непосредственно на веб-сайте поставщика, что требует проверки; покупка версии в даркнете через различные хакерские форумы; или с использованием взломанных незаконных версий программного обеспечения. В марте 2020 года была выпущена взломанная версия Cobalt Strike 4.0, доступная злоумышленникам.

Призыв Cobalt Strike

Cobalt Strike используется множеством различных злоумышленников, и хотя киберпреступники и участники APT-атак нередко используют аналогичные инструменты в своих кампаниях, Cobalt Strike уникален тем, что его встроенные возможности позволяют быстро развернуть и ввести в действие. независимо от уровня подготовки участников или доступа к человеческим или финансовым ресурсам. Работа по моделированию атак субъектов и проникновения через оборону может стать немного более простой, если обе стороны используют один и тот же инструмент.

Cobalt Strike также основан на сеансах - то есть, если злоумышленники могут получить доступ к узлу и завершить операцию без необходимости постоянного сохранения, на узле не останется артефактов после того, как он перестанет работать в памяти. По сути: они могут ударить и забыть.

Злоумышленники также могут использовать гибкость Cobalt Strike для создания настраиваемых сборок, которые добавляют или удаляют функции для достижения целей или уклонения от обнаружения. Например, APT29 часто использует пользовательские загрузчики Cobalt Strike Beacon, чтобы слиться с легальным трафиком или избежать анализа.

Для защитников настраиваемые модули Cobalt Strike часто требуют уникальных сигнатур, поэтому от инженеров по обнаружению угроз могут потребоваться попытки догнать использование Cobalt Strike в дикой природе. Cobalt Strike также привлекает злоумышленников из-за присущей ему обфускации. Если в организации Red Team, активно использующая его, есть вероятность, что вредоносный трафик будет ошибочно принят за законный. Простота использования программного обеспечения может улучшить возможности менее искушенных участников. Для опытных участников, зачем тратить циклы разработки на что-то новое, если у вас уже есть отличный инструмент для работы?

Данные Proofpoint показывают, что Cobalt Strike - популярный инструмент для всего, от стратегических компромиссов до шумных и масштабных кампаний. Следующие ниже примеры иллюстрируют небольшую выборку типов злоумышленников, использующих Cobalt Strike, отслеживаемых Proofpoint.

Агенты угрозы

TA800

TA800 - крупная преступная группа, отслеживаемая Proofpoint с середины 2019 года. Этот субъект пытается доставить и установить банковское вредоносное ПО или загрузчики вредоносных программ, включая The Trick и BazaLoader. В апреле 2020 года TA800 стала первой наблюдаемой группой, распространяющей BazaLoader. В этих ранних кампаниях злоумышленник распространял электронные письма со злонамеренной ссылкой на исполняемый файл или на целевую страницу, размещенную в Документах Google, со ссылкой на исполняемый файл. Исполняемый файл загрузил бэкдор BazaLoader, который, в свою очередь, загрузил Cobalt Strike. В феврале 2021 года группа перешла к распространению Cobalt Strike в качестве полезной нагрузки первого уровня через вредоносные URL-адреса. Были некоторые свидетельства того, что NimzaLoader из TA800 использовался для загрузки и выполнения Cobalt Strike в качестве вторичной полезной нагрузки.

TA547

TA547 - это злоумышленник, отслеживаемый Proofpoint с октября 2017 года. Эта группа, похоже, заинтересована в распространении в основном банковских троянов, включая The Trick и ZLoader, в различных географических регионах. С середины 2020 года этот субъект выступает за использование вредоносных вложений Microsoft Office для распространения вредоносных программ. В феврале 2021 года TA547 начал распространение Cobalt Strike в качестве полезной нагрузки второго уровня для управления и контроля.
+
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.

Комментарии

  • отредактировано July 2021 PM
    +
    TA415

    TA415 является APT-агентом, который, как считается, связан с государственными интересами Китайской Народной Республики (КНР). Группа была отмечена в судебных документах Соединенных Штатов, что она связана с Министерством государственной безопасности КНР. TA415 также известен как барий и APT41. Proofpoint идентифицировал TA415 с Cobalt Strike в качестве полезной нагрузки первого этапа в ограниченных кампаниях в середине 2020 года. В сентябре 2020 года Министерство юстиции США объявило обвинительное заключение нескольким субъектам угроз, связанным с этой группой угроз, и подробно изложило в обвинительном заключении источники угрозы, использующие Cobalt Strike. Согласно недавнему отчету Group-IB, TA415 использовала Cobalt Strike в продолжающихся кампаниях против организаций в секторе авиакомпаний. В частности, исследователи указывают, что Cobalt Strike мог быть развернут как часть атаки на цепочку поставок с участием ИТ-провайдера SITA. Этот компромисс со стороны крупного поставщика ИТ для сотен авиакомпаний по всему миру мог впоследствии повлиять на авиакомпании, связанные с серверами обработки данных SITA.

    Рисунок 2: Хронология угроз с использованием Cobalt Strike. Ссылки на источники доступны в разделе «Ссылки».
    Цепочка атак

    Proofpoint обнаружил десятки злоумышленников, использующих Cobalt Strike. Однако, как и их законные аналоги, злоумышленники демонстрируют множество путей атаки и вариантов использования программного обеспечения для эмуляции злонамеренных агентов. Злоумышленники используют разные темы приманки, типы угроз, дропперы и полезные нагрузки. Например, самые ранние кампании Cobalt Strike распространяли угрозы электронной почты с вредоносными вложениями документов для распространения вредоносного ПО, но кампании, распространяющие вредоносные URL-адреса непосредственно в теле сообщения электронной почты, превзошли вложения как наиболее часто используемый тип угрозы.

    Хотя количество случаев отправки Cobalt Strike напрямую в качестве начальной полезной нагрузки резко увеличилось, развертывание в качестве полезной нагрузки второго этапа остается популярным. Cobalt Strike был замечен в различных цепочках атак наряду с такими вредоносными программами, как The Trick, BazaLoader, Ursnif, IcedID и многими другими популярными загрузчиками. В этих случаях предыдущая вредоносная программа обычно загружает и выполняет Cobalt Strike. Аналогичным образом, существует широкий спектр методов, используемых в случаях, когда Cobalt Strike доставляется напрямую, например, с помощью вредоносных макросов в вооруженных документах Office, сжатых исполняемых файлах, PowerShell, динамическом обмене данными (DDE), файлах HTA / HTML и системах распределения трафика. .

    После выполнения Cobalt Strike и установки Beacon для связи C2 были замечены субъекты, пытающиеся перечислить сетевые подключения и сбрасывать учетные данные Active Directory, когда они пытаются перемещаться вбок к сетевому ресурсу, такому как контроллер домена, что позволяет развертывать программы-вымогатели на все сетевые системы. Например, в документации Cobalt Strike говорится:

    Используйте команду net dclist, чтобы найти контроллер домена для домена, к которому присоединен целевой объект. Используйте команду net view, чтобы найти цели в домене, к которому она присоединена.

    В дополнение к обнаружению сети и сбросу учетных данных, Cobalt Strike Beacon также имеет возможность повышать привилегии, загружать и запускать дополнительные инструменты и внедрять эти функции в существующие запущенные хост-процессы, чтобы попытаться избежать обнаружения.

    Перспективы

    Исследователи Proofpoint ожидают, что Cobalt Strike по-прежнему будет широко используемым инструментом в наборах инструментов злоумышленников. Согласно внутренним данным, десятки тысяч организаций уже были атакованы Cobalt Strike на основе наблюдаемых кампаний. Мы ожидаем, что в 2021 году это число увеличится.

    Рисунок 3: Количество клиентов, подвергшихся угрозам с помощью Cobalt Strike
    Заключение

    Cobalt Strike - полезный инструмент как для законных исследователей безопасности, так и для злоумышленников. Его гибкость в сочетании с удобством использования делает его надежным и эффективным инструментом для перекачивания данных, горизонтального перемещения и загрузки дополнительных вредоносных программ.

    Cobalt Strike - не единственный инструмент красной команды, который чаще появляется в данных Proofpoint. Другие включают Mythic, Meterpreter и Veil Framework.

    Использование общедоступных инструментов согласуется с более широкой тенденцией, наблюдаемой Proofpoint: злоумышленники используют как можно больше легитимных инструментов, включая выполнение процессов Windows, таких как PowerShell и WMI; внедрение вредоносного кода в легитимные двоичные файлы; и частое использование допустимых сервисов, таких как Dropbox, Google Drive, SendGrid и Constant Contact, для размещения и распространения вредоносных программ.

    https://www.proofpoint.com/us/blog/threat-insight/cobalt-strike-favorite-tool-apt-crimeware
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано September 2021 PM
    Поддельные обновления безопасности Kaseya VSA распространяют в сети Cobalt Strike

    Злоумышленники пытаются извлечь выгоду из продолжающегося кризиса, связанного с атаками ransomware на Kaseya VSA, нацеливаясь на потенциальных жертв в рамках кампании спама, распространяя полезные нагрузки Cobalt Strike, замаскированные под обновления безопасности Kaseya VSA.

    Cobalt Strike - это законный инструмент для тестирования на проникновение и программное обеспечение для эмуляции угроз, которое также используется злоумышленниками для выполнения задач после эксплуатации и развертывания так называемых маяков, которые позволяют им получить удаленный доступ к скомпрометированным системам.

    Конечная цель таких атак - либо сбор и фильтрация конфиденциальных данных, либо доставка вредоносных программ второго уровня.

    «Интересно, что 66% всех атак с использованием программ-вымогателей в этом квартале были связаны с фреймворком« red team» Cobalt Strike, что свидетельствует о том, что злоумышленники все чаще полагаются на этот инструмент, отказываясь от обычных троянов», - заявила группа реагирования на инциденты Cisco Talos (CTIR) в сентябрьском ежеквартальном обзоре отчет.

    Спам-сообщения содержат вредоносные вложения и ссылки

    Кампания по распространению вредоносного спама, обнаруженная исследователями Malwarebytes Threat Intelligence, использует две разные тактики для развертывания полезной нагрузки Cobalt Strike.

    Вредоносные электронные письма, отправляемые в рамках этой кампании по вредоносному спаму, содержат вредоносное вложение и встроенную ссылку, которая выглядит как патч Microsoft для Kaseya VSA "нулевого дня", использованного в атаке программы-вымогателя REvil.

    «Кампания по вредоносному спаму использует атаку вымогателя Kaseya VSA для установки CobaltStrike», - заявила команда Malwarebytes Threat Intelligence.

    «Он содержит вложение с именем« SecurityUpdates.exe », а также ссылку, выдавающуюся за обновление системы безопасности от Microsoft для исправления уязвимости Kaseya!»

    Злоумышленники получают постоянный удаленный доступ к целевым системам после запуска вредоносного вложения или загрузки и запуска поддельного обновления Microsoft на своих устройствах.

    Атака на Colonial Pipeline также использовалась в фишинге Cobalt Strike

    В прошлом месяце злоумышленники также использовали поддельные обновления системы, которые, как утверждается, помогают обнаруживать и блокировать заражение программами-вымогателями после атаки на Colonial Pipeline.

    Как и в случае с кампанией вредоносного спама в этом месяце, июньская фишинговая кампания также распространяла вредоносные полезные нагрузки, предназначенные для развертывания инструмента тестирования на проникновение Cobalt Strike, что позволило бы злоумышленникам скомпрометировать системы получателей.

    Как заявили исследователи INKY, обнаружившие атаки, в фишинговых письмах указывался крайний срок для установки фальшивых обновлений, чтобы придать ощущение срочности.

    Страницы загрузки полезной нагрузки также были настроены с использованием графики целевой компании, чтобы они выглядели заслуживающими доверия.

    Эти две кампании подчеркивают, что злоумышленники в фишинговом бизнесе следят за последними новостями, чтобы использовать приманки, относящиеся к недавним событиям, чтобы повысить эффективность своих кампаний.

    Широко разрекламированная атака программы-вымогателя REvil, поразившая поставщика программного обеспечения Kaseya MSP и примерно 60 из 35 000 их прямых клиентов и 1 500 из 1 000 000 дочерних компаний, является идеальной темой для приманки.

    Поскольку Kaseya заявляет, что не смогла развернуть исправление для VSA нулевого дня, используемого REvil, многие из ее клиентов могут поддаться уловкам этой кампании по защите своих сетей от атак.

    https://www.bleepingcomputer.com/news/security/fake-kaseya-vsa-security-update-backdoors-networks-with-cobalt-strike/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано September 2021 PM
    Созданный хакерами маяк Linux Cobalt Strike используется в продолжающихся атаках

    Неофициальная версия Cobalt Strike Beacon Linux, созданная неизвестными злоумышленниками с нуля, была обнаружена исследователями безопасности и активно использовалась в атаках, нацеленных на организации по всему миру.

    Cobalt Strike - это законный инструмент для тестирования на проникновение, разработанный как структура атаки для Red Team (группы специалистов по безопасности, которые действуют как злоумышленники на инфраструктуру своей собственной организации, чтобы обнаружить бреши и уязвимости).

    Cobalt Strike также используется злоумышленниками (обычно выпадающими из атак программ-вымогателей) для задач после эксплуатации после развертывания так называемых маяков, которые обеспечивают постоянный удаленный доступ к скомпрометированным устройствам. Используя маяки, злоумышленники могут позже получить доступ к взломанным серверам для сбора данных или развертывания дополнительных вредоносных программ.

    Со временем взломанные копии Cobalt Strike были получены и распространены злоумышленниками, что стало одним из наиболее распространенных инструментов, используемых в кибератаках, ведущих к краже данных и программам-вымогателям. Однако у Cobalt Strike всегда была слабость - он поддерживает только устройства Windows и не включает маяки Linux.

    В новом отчете Intezer исследователи объясняют, как злоумышленники взяли на себя ответственность создать свои маяки Linux, совместимые с Cobalt Strike. Используя эти маяки, злоумышленники теперь могут получить постоянство и удаленное выполнение команд как на компьютерах Windows, так и на Linux.

    Полностью не обнаруживается в VirusTotal

    Исследователи Intezer, которые впервые заметили повторную реализацию маяка в августе и окрестили его Vermilion Strike, заявили, что обнаруженный ими двоичный файл Cobalt Strike ELF [VirusTotal] в настоящее время полностью не обнаруживается средствами защиты от вредоносных программ.

    Vermilion Strike имеет тот же формат конфигурации, что и официальный маяк Windows, и может взаимодействовать со всеми серверами Cobalt Strike, но не использует код Cobalt Strike.

    Эта новая вредоносная программа для Linux также имеет технические совпадения (те же функции и серверы управления и контроля) с файлами DLL Windows, намекающими на одного и того же разработчика.

    «Скрытый образец использует протокол Cobalt Strike Command and Control (C2) при обмене данными с сервером C2 и имеет возможности удаленного доступа, такие как загрузка файлов, выполнение команд оболочки и запись в файлы», - сказал Intezer.

    «Вредоносная программа полностью не обнаруживается в VirusTotal на момент написания этой статьи и была загружена из Малайзии».

    После развертывания в скомпрометированной системе Linux Vermilion Strike может выполнять следующие задачи:

    Сменить рабочий каталог
    Получить текущий рабочий каталог
    Добавить / записать в файл
    Загрузить файл на C2
    Выполнить команду через popen
    Получить разделы диска
    Список файлов

    Используется в постоянных атаках с августа

    Используя данные телеметрии, предоставленные McAfee Enterprise ATR, Intezer также обнаружил несколько организаций, нацеленных на использование Vermilion Strike с августа 2021 года из различных секторов промышленности, от телекоммуникационных компаний и государственных учреждений до ИТ-компаний, финансовых учреждений и консультационных компаний по всему миру.

    Также стоит упомянуть, что Vermilion Strike - не первый или единственный перенос Cobalt Strike's Beacon на Linux, с geacon, реализацией на основе Go с открытым исходным кодом, общедоступной в течение последних двух лет.

    Однако, как сказал Intezer BleepingComputer, «это первая реализация Linux, которая использовалась для реальных атак». К сожалению, нет информации о первоначальном векторе атаки, который злоумышленники используют для нацеливания на системы Linux.

    "Изощренность этой угрозы, ее намерение вести шпионаж и тот факт, что код ранее не использовался в других атаках, вместе с тем фактом, что он нацелен на конкретные сущности в дикой природе, заставляет нас полагать, что эта угроза была разработан опытным злоумышленником », - заключил Intezer.

    https://www.bleepingcomputer.com/news/security/hacker-made-linux-cobalt-strike-beacon-used-in-ongoing-attacks/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.