Хакер #305. Многошаговые SQL-инъекции
Представители Microsoft, организации Health-ISAC и компании Fortra (ранее Help Systems), стоящей за разработкой Cobalt Strike, будут противостоять злоупотреблениям этим инструментом для пентестеров и red team. Суд выдал разрешение, позволяющее участникам инициативы бороться с «вредоносной инфраструктурой», используемой в атаках, например, с C&C-серверами хакеров.
Напомню, что Cobalt Strike представляет собой легитимный коммерческий инструмент, ориентированный на пентестеров и red team и созданный для эксплуатации и постэксплуатации. Он наверняка хорошо знаком большинству читателей, но, к сожалению, Cobalt Strike давно любим хакерами, начиная от правительственных APT-группировок и заканчивая операторами шифровальщиков. Хотя он недоступен для рядовых пользователей и полная версия стоит несколько тысяч долларов за установку, злоумышленники все равно находят способы его использовать (к примеру, полагаются на старые, пиратские, взломанные и незарегистрированные версии).
В прошлую пятницу, 31 марта 2023 года, окружной суд восточного округа Нью-Йорка издал распоряжение, позволяющее Microsoft и Fortra конфисковать доменные имена и IP-адреса серверов, на которых размещаются взломанные версии Cobalt Strike. Такие действия должны осуществляться при содействии специалистов CERT и интернет-провайдеров, а их конечной целью является отключение вредоносных инфраструктур.
Также сообщается, что Microsoft и партнеры сотрудничают с киберподразделением ФБР, Национальной объединенной группой по расследованию киберугроз (NCIJTF) и Европейским центром по борьбе с киберпреступностью при Европоле (EC3).
«Нам придется проявить настойчивость, чтобы уничтожить взломанные и устаревшие копии Cobalt Strike, развернутые по всему миру, — говорит Эми Хоган-Берни (Amy Hogan-Burney), глава отдела цифровых преступлений в Microsoft (DCU). — Это важное действие для компании Fortra, направленное на защиту легитимного использования ее инструментов безопасности. <…> Нарушение работы взломанных и устаревших копий Cobalt Strike значительно затруднит монетизацию таких нелегальных копий и их использование в кибератаках, заставив преступников пересмотреть и изменить тактику».
Также сообщается, что в рамках этой инициативы будут выдвигаться иски о нарушении авторских прав и злоупотреблении ПО Microsoft и Fortra, которое было изменено и использовано для причинения вреда.
Участники инициативы составили карту, на которой отображено использование взломанных копий Cobalt Strike по всему миру.
Исследователи говорят, что наблюдают за злоупотреблением инструментом со стороны многочисленных хакерских группировок в России, Китае, Вьетнаме и Иране. К примеру, сообщается, что Cobalt Strike использовался более чем в 68 вымогательских атаках, нацеленных на сектор здравоохранения более чем в 19 странах мира.
«Fortra тратит значительные ресурсы на исследователей, инфраструктуру и юридические процессы, направленные на борьбу с этими угрозами, а также на улучшение каждой версии продукта, чтобы преступникам было труднее им злоупотреблять, — рассказывает вице-президент Fortra Боб Эрдман (Bob Erdman), и уверяет, что теперь бороться с нелегальным использованием Cobalt Strike станет проще.
Нужно отметить, что в конце 2022 года бороться со взломанными копиями Cobalt Strike и хакерами, которые их используют, начали и специалисты Google Cloud Threat Intelligence. Тогда эксперты объявили о выпуске правил YARA, а также коллекции индикаторов компрометации для VirusTotal, которые должны облегчить защитникам обнаружение компонентов Cobalt Strike в своих сетях.