Правоохранительные органы, под руководством Европола, провели операцию «Морфей» (Morpheus), в результате которой были ликвидированы почти 600 серверов Cobalt Strike, использовавшихся киберпреступниками.

В операции, которая началась еще в 2021 году, приняли участие правоохранительные органы Австралии, Германии, Канады, Нидерландов, Польши и США, а возглавляло ее Национальное агентство по борьбе с преступностью Великобритании.

Также к правоохранителям присоединились частные компании, включая BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch и The Shadowserver Foundation. Они предоставили свою помощь в вопросах расширенного сканирования, сбора телеметрии и аналитики, чтобы выявить серверы Cobalt Strike, используемые в хакерских кампаниях.

В результате, в конце июня были обнаружены сотни IP-адресов, связанных с преступной деятельностью, и доменные имена, которые являлись частью атакующей инфраструктуры различных хак-групп. Затем собранная информация была передана провайдерам, которые отключили нелицензионные версии инструмента.

«Старые, нелицензионные версии red team инструмента Cobalt Strike были блокированы в период с 24 по 28 июня, — сообщает Европол. — В общей сложности 690 IP-адресов были переданы провайдерам в 27 странах мира. К концу недели 593 из этих адресов были отключены».

Cobalt Strike представляет собой легитимный коммерческий инструмент, который ориентирован на пентестеров и red team, и создан для эксплуатации и постэксплуатации. При этом Cobalt Strike давно любим хакерами, начиная от правительственных APT-группировок и заканчивая операторами шифровальщиков.

Хотя он недоступен для рядовых пользователей и полная версия стоит несколько тысяч долларов за установку, злоумышленники все равно находят способы его использовать (к примеру, полагаются на старые, пиратские, взломанные и незарегистрированные версии).

Напомним, что в прошлом году о своем намерении бороться со злоупотреблениями Cobalt Strike также объявили представители Microsoft, организации Health-ISAC и компании Fortra (ранее Help Systems).

Тогда в Microsoft отмечали, что различные преступники и многочисленные хакерские группы (в том числе «правительственные») регулярно используют взломанные версии Cobalt Strike. В частности, за этим были замечены группировки в России, Китае, Вьетнаме и Иране.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии