В последние пять лет Cobalt Strike активно применяют киберпреступные группировки, в том числе FIN6, FIN7 и APT29.
Уязвимость в инструменте Cobalt Strike помогла исследователям определить локации нескольких тысяч C&C-серверов, используемых злоумышленниками для управления вредоносным ПО.
Cobalt Strike представляет собой фреймворк для проведения тестов на проникновение, позволяющий доставить на атакуемый компьютер полезную нагрузку и управлять ею. Инструмент используется многими специалистами в области кибербезопасности для имитации кибератак. Однако в последние пять лет его активно применяют и различные киберпреступные группировки, в том числе спонсируемые правительствами, включая FIN6, FIN7 (она же Cobalt и Carbanak) и APT29 (также известна как Cozy Bear).
Специалисты компании Fox-IT обнаружили уязвимость в серверном компоненте Cobalt Strike, которая позволила им отслеживать вредоносные серверы. Суть проблемы заключается в том, что построенный на NanoHTTPD web-сервер в составе инструмента случайно добавляет лишние пробелы в HTTP-ответы сервера (как показано на изображении ниже).
Дополнительный пробел позволил выявить коммуникацию между «маячками» на зараженных машинах и C&C-серверами. За период с января 2015 года по февраль 2019 года специалистам удалось выявить 7 718 серверов Cobalt Strike (полный список IP-адресов доступен
