新的研究表明,钴打击是如何在部署从Trickbot银行特洛伊木马到Bazar等恶意软件的战役中被武器化的。
周三,英特尔471发布了http://www.intel471.com/blog/cobalt-strike-cybercriminals-trickbot-qbot-hancitor“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>一份调查滥用钴击的报告,2012年发布的一种商业渗透测试工具,可用于在系统上部署信标,以模拟攻击和测试网络防御。
今年1月,安全分析师表示,Cobalt Strike与Metasploit框架一起被用于托管对Fox IT来说,,已经记录了数以千计的钴击滥用实例,但大多数威胁参与者将使用遗留的、盗版的或破解的软件拷贝。
“钴打击已经成为许多恶意软件家族中许多恶意软件活动的一种非常常见的第二阶段有效载荷,”英特尔471指出这种强大且高度灵活的工具的使用受到了产品开发者的限制,但泄露的版本早已在互联网上传播开来。”
研究人员说,现有的滥用Cobalt-Strike的行为与从勒索软件部署到监视和数据泄露等活动有关,但由于该工具允许用户创建可扩展的C2架构,因此跟踪C2所有者可能会很复杂。
然而,该小组已对在开采后活动中使用钴打击进行了调查。
选择编织物作为起点。Trickbot banking特洛伊木马操作员在攻击中放弃了Cobalt Strike帕洛阿尔托网络公司,最近的感染表明,这些工具已被钴击取代。在攻击后活动期间,Hancitor将部署远程访问特洛伊木马(RAT)、信息窃取程序,或者在某些情况下部署spambot恶意软件。
“建立与汉西托相关的钴打击小组服务器的组织倾向于在没有域的主机上托管CS信标,”intel471说CS信标将呼叫同一组IP。stager是通过Yalishanda防弹托管服务从基础设施下载的。需要注意的是,Hancitor只在连接到Windows域的计算机上删除Cobalt Strike。如果不满足此条件,Hancitor可能会丢弃SendSafe(spambot)、Onliner IMAP checker或Ficker information stealer。“
研究人员还探讨了分发Qbot/Qakbot banking特洛伊木马的威胁参与者使用Cobalt Strike的情况,其中一个插件plugin\u Cobalt\u power3启用了笔测试工具。
“从与Qbot相关的钴打击信标中提取的配置没有显示到我们所知道的任何其他组的任何链接,”报告说当将此活动与其他研究人员报告的样本进行比较时,我们观察到使用了不同的公共可延展性C2配置文件,但在托管基础设施方面存在共性。”
SystemBC恶意软件变体的操作员,作为被记录为发送和分发钴打击,而不是过去威胁行为者使用的典型集市装载机。
“钴罢工是一个强大的工具,它被那些根本不应该利用它的人利用:一个成长的过程研究人员说:“网络罪犯的数量增加了。”也就是说,并非所有的钴打击部署都是相同的。一些部署通过重复使用基础设施而不改变其可扩展的C2配置文件,显示出糟糕的操作安全性。此外,一些运营商在许多受感染的系统上投放钴打击,而其他人只会非常有选择性地部署该工具。”
