google cloud tuần trước đã tiết lộ rằng họ đã xác định được 34 phiên bản phát hành bị tấn công khác nhau của công cụ Cobalt Strike trong tự nhiên, phiên bản sớm nhất được xuất xưởng vào tháng 11 năm 2012.
Theo phát hiện từ nhóm Google Cloud Threat Intelligence (GCTI), các phiên bản, kéo dài từ 1,44 đến 4,7, có tổng cộng 275 tệp JAR duy nhất. Phiên bản mới nhất của Cobalt Strike là phiên bản 4.7.2.
Cobalt Strike, được phát triển bởi Fortra (nhũ danh HelpSystems), là một khung đối thủ phổ biến được các đội đỏ sử dụng để mô phỏng các kịch bản tấn công và kiểm tra khả năng phục hồi của hệ thống phòng thủ mạng của họ.
Nó bao gồm một Máy chủ nhóm đóng vai trò là trung tâm chỉ huy và kiểm soát (C2) để điều khiển từ xa các thiết bị bị nhiễm độc và một bộ dàn dựng được thiết kế để cung cấp tải trọng giai đoạn tiếp theo có tên là Beacon, một bộ cấy đầy đủ tính năng báo cáo lại cho C2 người phục vụ.
Với bộ tính năng đa dạng, các phiên bản trái phép của phần mềm ngày càng được nhiều tác nhân đe dọa vũ khí hóa để thúc đẩy các hoạt động hậu khai thác của chúng.
Greg Sinclair, một kỹ sư đảo ngược tại công ty con Chronicle của Google cho biết.
Trong nỗ lực khắc phục tình trạng lạm dụng này, GCTI đã phát hành một bộ Quy tắc YARA mã nguồn mở để gắn cờ các biến thể khác nhau của phần mềm được sử dụng bởi các nhóm tin tặc độc hại.
Sinclair cho biết ý tưởng là “loại bỏ các phiên bản xấu trong khi vẫn giữ nguyên các phiên bản hợp pháp”, đồng thời cho biết thêm “ý định của chúng tôi là chuyển công cụ này trở lại miền của các đội đỏ hợp pháp và khiến kẻ xấu khó lạm dụng hơn.”
