По сравнению с 2019 годом, в 2020 году количество атак с использованием Cobalt Strike увеличилось на 161%.
Как сообщает компания Proofpoint, преследующие финансовую выгоду киберпреступные группировки все чаще стали применять в своих атаках Cobalt Strike – легитимный инструмент, использующийся ИБ-экспертами для тестирования безопасности сетей.
Proofpoint не приводит никаких конкретных цифр, но сообщает, что по сравнению с 2019 годом, в 2020 году количество атак с использованием Cobalt Strike увеличилось на 161%. Эксперты прогнозируют еще больший рост в нынешнем году, поскольку уже зафиксировали десятки тысяч атак на организации с использованием этого инструмента.
Как пояснили эксперты, киберпреступники используют пиратские версии Cobalt Strike – инструмента, пользующегося большой популярностью из-за большого разнообразия атак, которые можно осуществить с его помощью. Одна из наиболее заслуживающих внимание версий инструмента является Cobalt Strike Beacon, позволяющий загружать вредоносное ПО, позволяющее хакерам маскировать свою активность и подключение к атакуемой системе.
Предполагается, что в ходе атаки на SolarWinds использовалась кастомная версия Cobalt Strike Beacon. Кроме того, инструмент пользуется большой популярностью у кибервымогательских группировок, которые с его помощью развертывают вредоносное ПО второго этапа в уже взломанных сетях.
Помимо прочих, Cobalt Strike использовался такими известными киберпреступными группировками, как FIN7 и Conti.
Рост атак с использованием Cobalt Strike подтверждает давние опасения ИБ-сообщества о том, что все инструменты для тестирования безопасности могут использоваться киберпреступниками.
«Наступательные инструменты безопасности не являются злом по своей сути, но стоит изучить, как незаконное использование фреймворков распространилось как среди участников APT , так и среди киберпреступников. Финансово мотивированные субъекты угроз теперь вооружены так же, как и те, которые финансируются и поддерживаются правительствами различных стран», - говорится в отчете Proofpoint.
Исследователи также отметили рост атак с использованием таких инструментов тестирования безопасности, как Mythic, Meterpreter и Veil Framework. Киберпреступники также обращаются к надежным сервисам наподобие Dropbox, Google Drive, SendGrid и Constant Contact, для размещения и распространения вредоносных программ.
Спойлер: мы раскрываем их любимые трюки