По сравнению с 2019 годом, в 2020 году количество атак с использованием Cobalt Strike увеличилось на 161%.
Как сообщает компания Proofpoint, преследующие финансовую выгоду киберпреступные группировки все чаще стали применять в своих атаках Cobalt Strike – легитимный инструмент, использующийся ИБ-экспертами для тестирования безопасности сетей.
Proofpoint не приводит никаких конкретных цифр, но сообщает, что по сравнению с 2019 годом, в 2020 году количество атак с использованием Cobalt Strike увеличилось на 161%. Эксперты прогнозируют еще больший рост в нынешнем году, поскольку уже зафиксировали десятки тысяч атак на организации с использованием этого инструмента.
Как пояснили эксперты, киберпреступники используют пиратские версии Cobalt Strike – инструмента, пользующегося большой популярностью из-за большого разнообразия атак, которые можно осуществить с его помощью. Одна из наиболее заслуживающих внимание версий инструмента является Cobalt Strike Beacon, позволяющий загружать вредоносное ПО, позволяющее хакерам маскировать свою активность и подключение к атакуемой системе.
Предполагается, что в ходе атаки на SolarWinds использовалась кастомная версия Cobalt Strike Beacon. Кроме того, инструмент пользуется большой популярностью у кибервымогательских группировок, которые с его помощью развертывают вредоносное ПО второго этапа в уже взломанных сетях.
Помимо прочих, Cobalt Strike использовался такими известными киберпреступными группировками, как FIN7 и Conti.
Рост атак с использованием Cobalt Strike подтверждает давние опасения ИБ-сообщества о том, что все инструменты для тестирования безопасности могут использоваться киберпреступниками.
«Наступательные инструменты безопасности не являются злом по своей сути, но стоит изучить, как незаконное использование фреймворков распространилось как среди участников APT, так и среди киберпреступников. Финансово мотивированные субъекты угроз теперь вооружены так же, как и те, которые финансируются и поддерживаются правительствами различных стран», - говорится в отчете Proofpoint.
Исследователи также отметили рост атак с использованием таких инструментов тестирования безопасности, как Mythic, Meterpreter и Veil Framework. Киберпреступники также обращаются к надежным сервисам наподобие Dropbox, Google Drive, SendGrid и Constant Contact, для размещения и распространения вредоносных программ.
Одно найти легче, чем другое. Спойлер: это не темная материя