Злоумышленники предпочитают использовать устаревшие версии инструмента, если другие хакерские группировки еще не перешли на новые релизы Cobalt Strike.
Хотя разработчики фреймворка Cobalt Strike выпустили обновления в январе и мае нынешнего года (3.13 и 3.14 соответственно), десятки серверов все еще работают на устаревших выпусках платформы, причем некоторые из них используют пиратские, взломанные или незарегистрированные версии Cobalt Strike.
Cobalt Strike представляет собой фреймворк для проведения тестов на проникновение, позволяющий доставить на атакуемый компьютер полезную нагрузку и управлять ею. Другими словами, инструмент предназначен исключительно для законного использования. Помимо внушительной стоимости лицензии ($3,5 тыс.), разработчики позаботились о мерах, исключающих попадание инструмента в руки злоумышленников, в их числе проверка клиентов, контролируемый экспорт и ограниченное предложение за пределами США и Канады. Тем не менее, киберпреступники находят способы получить лицензионную копию инструмента, некоторые даже готовы заплатить за это $25 тыс.
В интернете доступны взломанные версии Cobalt Strike, однако зачастую они содержат бэкдоры или не имеют всех функций оригинала. К тому же, такое ПО нельзя обновить.
Существует несколько признаков, позволяющих идентифицировать уязвимые серверы Cobalt Strike: использование установленного по умолчанию TLS сертификата разработчика; в активном режиме DNS-сервер в Cobalt Strike отвечает на все DNS-запросы фальшивым IP-адресом; наличие порта 50050/TCP; HTTP ответ «404 Not Found» характерен для NanoHTTPD web-серверов; лишние пробелы в HTTP-ответах сервера (данная уязвимость была исправлена в Cobalt Strike 3.13).
Комбинируя несколько методов, специалисты Recorded Future смогли выявить 104 сервера, использующих фреймворк.
Для того чтобы не привлекать внимания, киберпреступники предпочитают использовать устаревшие версии инструмента, если другие хакерские группировки еще не перешли на новые версии Cobalt Strike. Еще одна причина может заключаться в том, что при обновлении до свежей сборки могут быть потеряны реализованные изменения, полагают эксперты.
«Использование взломанных версий Cobalt Strike или развертывание стандартных экземпляров Cobalt Strike позволяет замаскировать угрозы и усложнить идентификацию. Кроме того, применяя взломанные версии, злоумышленники могут «смешаться» с устаревшими релизами Cobalt Strike», – пояснили исследователи.
