一项代号为Morpheus的国际执法行动,旨在打击一种老式的、无证的钴撞击红色组队工具。
钴打击平台是为对手模拟和红队作战而开发的,目前由网络安全软件公司Fortra提供。它有在威胁演员中也很流行过去几年,包括APT29, FIN7, 琉球, 诡计和孔蒂.
攻击者在野外使用的盗版软件很容易找到。
MORPHEUS行动由英国国家犯罪局领导,包括来自澳大利亚、加拿大、德国、荷兰、波兰和美国的执法当局。这一结束复杂调查的颠覆性行动始于2021年。
行动在6月24日至28日之间进行,由欧洲刑警组织协调,该组织还与私人合作伙伴合作,包括BAE系统数字情报公司、Trellix、Spamhaus、abuse.ch和Shadowserver基金会。这些合作伙伴使用增强的扫描、遥测和分析能力来识别恶意活动和网络犯罪使用。
执法专家确定了690个IP地址和与犯罪活动有关的各种域名。这次行动摧毁了27个国家的593个IP地址。
[Fortra已采取重大步骤防止滥用其软件,并在整个调查过程中与执法部门合作,以保护其工具的合法使用。然而,在极少数情况下,犯罪分子窃取了旧版本的Cobalt Strike,创建破解副本以获得后门进入机器并部署恶意软件。这种未经授权的工具版本已经与多个恶意软件和勒索软件调查有关,包括对RYUK、Trickbot和Conti的调查新闻稿欧洲刑警组织出版。
[执法部门使用了一个被称为恶意软件信息共享平台的平台,允许私营部门与执法部门共享实时威胁情报。在整个调查期间,共享了730多份威胁情报,其中包含近120万个妥协指标。[欧洲刑警组织EC3在执法机构和私营伙伴之间组织了40多次协调会议。在行动周期间,欧洲刑警组织设立了一个虚拟指挥所,以协调全球的执法行动
2023年4月,微软数字犯罪部门(DCU)宣布,已与开发和维护该工具的Fortra公司以及健康信息共享和分析中心(Health-ISAC)合作,遏制网络犯罪分子滥用钴打击。
微软的DCU法庭命令在美国删除Cobalt Strike的破解版(“指被盗的、未经授权的或未经授权的工具版本或副本”),使它们不再被网络犯罪分子使用。
威胁行为者,包括勒索软件组织和民族国家行为者,在获得对目标网络的初始访问权限后使用Cobalt Strike。该工具用于进行多种恶意活动,包括权限升级、横向移动和部署额外的恶意有效载荷。
[更具体地说,Cobalt Strike的破解版允许被告获得受害者机器的控制权,并通过连接的网络横向移动,以寻找其他受害者并安装恶意软件。这包括安装勒索软件,如孔蒂, LockBit量子储物柜,皇家,古巴,BlackBasta黑猫和PlayCrypt,以阻止对系统的访问。本质上,被告能够利用Cobalt Strike的破解版野蛮地侵入受害者的机器并部署恶意软件法庭命令“此外,一旦被告将恶意软件或勒索软件部署到运行微软Window操作系统的计算机上,被告就能够执行一系列涉及滥用微软版权声明代码的行为。”
威胁参与者的攻击流示例DEV-0243.
微软观察到超过68个勒索软件攻击,涉及使用Cobalt Strike的破解拷贝,针对全球超过19个国家的医疗保健组织。
袭击给遇袭医院造成了巨大的经济损失,包括恢复和修复费用,以及危重病人护理服务中断。
微软还观察到民族国家的行为者,包括来自俄罗斯、中国、越南和伊朗的APT组织,使用Cobalt Strike的破解拷贝。
[微软、Fortra和Health-ISAC继续不懈地努力改善生态系统的安全,我们正在与联邦调查局网络司、国家网络调查联合工作队(NCIJTF)和欧洲刑警组织的欧洲网络犯罪中心(EC3)就此案进行合作。虽然这一行动将影响犯罪分子的直接行动,但我们完全预计他们将试图恢复他们的努力。因此,我们的行动不是一成不变的。
2022年11月,谷歌云的研究人员宣布发现了34个不同的Cobalt Strike版本,在这些版本中总共有275个独特的JAR文件。
谷歌云威胁情报(GCTI)的研究人员开发了一套YARA规则,用于在野外检测被黑客入侵的变种,准确率极高。研究人员注意到,每个Cobalt Strike版本包含大约10到100个攻击模板二进制文件
发表评论