Microsoft и Fortra будут бороться со злоупотреблениями Cobalt Strike

Discussion in 'Мировые новости. Обсуждения.' started by alexzir, 7 Apr 2023.

  1. alexzir

    alexzir Well-Known Member

    Joined:
    29 Oct 2019
    Messages:
    971
    Likes Received:
    2,343
    Reputations:
    25
    Представители Microsoft, организации Health-ISAC и компании Fortra (ранее Help Systems), стоящей за разработкой Cobalt Strike, будут противостоять злоупотреблениям этим инструментом для пентестеров и red team. Суд выдал разрешение, позволяющее участникам инициативы бороться с «вредоносной инфраструктурой», используемой в атаках, например, с C&C-серверами хакеров.

    Напомню, что Cobalt Strike представляет собой легитимный коммерческий инструмент, ориентированный на пентестеров и red team и созданный для эксплуатации и постэксплуатации. Он наверняка хорошо знаком большинству читателей, но, к сожалению, Cobalt Strike давно любим хакерами, начиная от правительственных APT-группировок и заканчивая операторами шифровальщиков. Хотя он недоступен для рядовых пользователей и полная версия стоит несколько тысяч долларов за установку, злоумышленники все равно находят способы его использовать (к примеру, полагаются на старые, пиратские, взломанные и незарегистрированные версии).


    В прошлую пятницу, 31 марта 2023 года, окружной суд восточного округа Нью-Йорка издал распоряжение, позволяющее Microsoft и Fortra конфисковать доменные имена и IP-адреса серверов, на которых размещаются взломанные версии Cobalt Strike. Такие действия должны осуществляться при содействии специалистов CERT и интернет-провайдеров, а их конечной целью является отключение вредоносных инфраструктур.

    Также сообщается, что Microsoft и партнеры сотрудничают с киберподразделением ФБР, Национальной объединенной группой по расследованию киберугроз (NCIJTF) и Европейским центром по борьбе с киберпреступностью при Европоле (EC3).

    «Нам придется проявить настойчивость, чтобы уничтожить взломанные и устаревшие копии Cobalt Strike, развернутые по всему миру, — говорит Эми Хоган-Берни (Amy Hogan-Burney), глава отдела цифровых преступлений в Microsoft (DCU). — Это важное действие для компании Fortra, направленное на защиту легитимного использования ее инструментов безопасности. <…> Нарушение работы взломанных и устаревших копий Cobalt Strike значительно затруднит монетизацию таких нелегальных копий и их использование в кибератаках, заставив преступников пересмотреть и изменить тактику».

    Также сообщается, что в рамках этой инициативы будут выдвигаться иски о нарушении авторских прав и злоупотреблении ПО Microsoft и Fortra, которое было изменено и использовано для причинения вреда.

    Участники инициативы составили карту, на которой отображено использование взломанных копий Cobalt Strike по всему миру.

    [​IMG]

    Исследователи говорят, что наблюдают за злоупотреблением инструментом со стороны многочисленных хакерских группировок в России, Китае, Вьетнаме и Иране. К примеру, сообщается, что Cobalt Strike использовался более чем в 68 вымогательских атаках, нацеленных на сектор здравоохранения более чем в 19 странах мира.

    «Fortra тратит значительные ресурсы на исследователей, инфраструктуру и юридические процессы, направленные на борьбу с этими угрозами, а также на улучшение каждой версии продукта, чтобы преступникам было труднее им злоупотреблять, — рассказывает вице-президент Fortra Боб Эрдман (Bob Erdman), и уверяет, что теперь бороться с нелегальным использованием Cobalt Strike станет проще.

    Нужно отметить, что в конце 2022 года бороться со взломанными копиями Cobalt Strike и хакерами, которые их используют, начали и специалисты Google Cloud Threat Intelligence. Тогда эксперты объявили о выпуске правил YARA, а также коллекции индикаторов компрометации для VirusTotal, которые должны облегчить защитникам обнаружение компонентов Cobalt Strike в своих сетях.
     
    user100 likes this.
Loading...