Podwójne życie oprogramowania Cobalt Strike

Specjaliści do spraw bezpieczeństwa wykryli, że po Cobalt Strike (znane narzędzie do prowadzenie testów penetracyjnych sprawdzających, czy dane środowisko sieciowe jest bezpieczne) sięgnęli ostatnio hakerzy. Wykorzystują je do rozsyłania złośliwych programów, które po zagnieżdżeniu się na atakowanym systemie pełnią najczęściej rolę bankowych trojanów.

Malware

Narzędzie Cobalt Strike powstało w 2012 roku i jest powszechnie stosowane do symulowania ataków na sieci komputerowe celem sprawdzenia, czy są one odpowiednio zabezpieczone i odporne na różne zagrożenia. Przeprowadzone kilka miesięcy temu badanie wykazało, że w 2020 roku hakerzy wykorzystywali w ponad 25-ciu procentach ataków na systemy komputerowe, w których brały udział serwery C&C (command-and-control), właśnie to narzędzie.

Było to możliwe gdyż z niewyjaśnionych dotąd powodów w pewnym momencie do sieci wyciekł kod źródłowy oprogramowania Cobalt Strike 4.0. Trafił on w ręce hakerów, którzy zaczęli wykorzystywać to narzędzie do przeprowadzania zaawansowanych ataków ATP (Advanced Persistent Threat), obierając najczęściej za cel instytucje finansowe.

Zobacz również:

  • Google zmienia zasady funkcjonowania mechanizmu bezpieczeństwa Safe Browsing
  • Co trzecia firma w Polsce z cyberincydentem
  • Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Do tej pory zidentyfikowano już co najmniej dwie grupy hakerów przeprowadzające takie ataki. Są to grupy noszące nazwy Carbanak i Cozy Bear, rozpowszechniające np. malware Bazar czy bankowy trojan Trickbot. Stosują przy tym ataki phishingowe, czyli rozsyłają wiadomości e-mail, który towarzyszy załącznik zawierający szkodliwe oprogramowanie.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200