cobalt-strike,-google-identifica-34-versioni-craccate-|-sicurezza.net

Cobalt Strike, Google identifica 34 versioni craccate | sicurezza.net

Google Cloud ha identificato 34 versioni violate di Cobalt Strike, la prima delle quali è stata distribuita nel novembre 2012.

Vediamo insieme tutte le novità sulla scoperta delle versioni craccate del popolare strumento di hacking.

Cobalt Strike, toolkit di hacking

Secondo quanto rilevato dal team di Google Cloud Threat Intelligence (GCTI), le versioni di Cobalt Strike, che vanno dalla 1.44 alla 4.7, sommano un totale di 275 file JAR unici. L’ultima versione è la 4.7.2.

Cobalt Strike, sviluppato da Fortra (nata come HelpSystems), è un popolare framework avversario. Nasce per essere utilizzato dai red team per simulare scenari di attacco e testare la resilienza delle loro difese informatiche.

Il framework comprende:

  • un Team Server, che funge da hub di comando e controllo (C2) per comandare a distanza i dispositivi infetti;
  • uno stager progettato per consegnare un payload successivo chiamato Beacon, un impianto completo che riporta al server C2.

I ricercatori della società di sicurezza Intezer hanno rivelato che gli attori delle minacce hanno sviluppato e utilizzano da agosto 2021 un proprio beacon Linux (Vermilion Strike). Quest’ultimo è compatibile con Cobalt Strike ed è usato per ottenere persistenza ed esecuzione di comandi remoti su dispositivi Windows e Linux.

L’utilizzo criminale di uno strumento legale

Cobalt Strike ha un’ampia gamma di funzionalità. Pertanto molti attori delle minacce utilizzano le versioni non autorizzate del software come armi per portare avanti le loro attività di post-sfruttamento.

Questa è la dichiarazione di Greg Sinclair, un reverse engineer presso la filiale Chronicle di Google:

Sebbene l’intenzione di Cobalt Strike sia quella di emulare una minaccia informatica reale, gli attori malintenzionati si sono impadroniti delle sue capacità e lo utilizzano come un solido strumento per il movimento laterale nella rete della vittima come parte del loro payload di attacco di secondo livello.

Nel tentativo di contrastare questo abuso, GCTI ha rilasciato una serie di regole YARA open source per segnalare le diverse varianti del software utilizzate dai gruppi di hacker.

Sinclair ha dichiarato che l’idea è quella di eliminare le versioni cattive lasciando intatte quelle legittime. L’ingegnere ha poi aggiunto che “l’intenzione è quella di riportare lo strumento nel dominio dei red team legittimi e rendere più difficile l’abuso da parte dei malintenzionati”.

Related Posts

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *