Podwójne życie oprogramowania Cobalt Strike

Specjaliści do spraw bezpieczeństwa wykryli, że po Cobalt Strike (znane narzędzie do prowadzenie testów penetracyjnych sprawdzających, czy dane środowisko sieciowe jest bezpieczne) sięgnęli ostatnio hakerzy. Wykorzystują je do rozsyłania złośliwych programów, które po zagnieżdżeniu się na atakowanym systemie pełnią najczęściej rolę bankowych trojanów.

Malware

Narzędzie Cobalt Strike powstało w 2012 roku i jest powszechnie stosowane do symulowania ataków na sieci komputerowe celem sprawdzenia, czy są one odpowiednio zabezpieczone i odporne na różne zagrożenia. Przeprowadzone kilka miesięcy temu badanie wykazało, że w 2020 roku hakerzy wykorzystywali w ponad 25-ciu procentach ataków na systemy komputerowe, w których brały udział serwery C&C (command-and-control), właśnie to narzędzie.

Było to możliwe gdyż z niewyjaśnionych dotąd powodów w pewnym momencie do sieci wyciekł kod źródłowy oprogramowania Cobalt Strike 4.0. Trafił on w ręce hakerów, którzy zaczęli wykorzystywać to narzędzie do przeprowadzania zaawansowanych ataków ATP (Advanced Persistent Threat), obierając najczęściej za cel instytucje finansowe.

Zobacz również:

  • Hakerzy wykorzystywali w zeszłym roku najczęściej te luki w oprogramowaniu
  • Hakerzy z grupy REvil znowu zaatakowali i żądają rekordowego okupu

Do tej pory zidentyfikowano już co najmniej dwie grupy hakerów przeprowadzające takie ataki. Są to grupy noszące nazwy Carbanak i Cozy Bear, rozpowszechniające np. malware Bazar czy bankowy trojan Trickbot. Stosują przy tym ataki phishingowe, czyli rozsyłają wiadomości e-mail, który towarzyszy załącznik zawierający szkodliwe oprogramowanie.


TOP 200