Siber güvenlik araştırmacıları, meşru bir sızma testi aracı olan Cobalt Strike’ın en son sürümünü kötü amaçlarla kullanan bir sunucu kümesi tespit etti.
Bu keşif, karmaşık siber saldırıları kolaylaştırmak için siber güvenlik araçlarının tehdit aktörleri tarafından sürekli olarak kötüye kullanıldığını vurguluyor.
Güvenlik profesyonelleri tarafından ağ savunmalarını test etmek için yaygın olarak kullanılan Cobalt Strike, güçlü istismar sonrası yetenekleri nedeniyle siber suçluların favorisi haline geldi.
Temmuz 2024’te yayınlanan en son sürüm olan 4.10, gelişmiş kaçırma için BeaconGate, sistem etkileşimi için Postex Kit ve tespit risklerini azaltmak için Sleepmask-VS gibi gelişmiş özellikleri tanıttı.
Bu güncellemeler meşru kırmızı ekip operasyonlarını iyileştirmek için tasarlanmış olsa da, aynı zamanda kötü niyetli aktörlere tespitten kaçmaları ve saldırıları gerçekleştirmeleri için yeni fırsatlar da sunuyor.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Kötü Amaçlı Altyapı Keşfedildi
Hunt’ın araştırması, Cobalt Strike yazılımına yerleştirilmiş benzersiz bir filigran tanımlayıcı olan “688983459” ile bağlantılı bir grup sunucuyu ortaya çıkardı.
Bu filigran, öncelikle Amazon’un altyapısında barındırılan ve bir sunucunun Microsoft hizmetlerini kullandığı yedi IP adresinde bulundu.
Bu sunucular, aşağıdaki gibi alan adları aracılığıyla meşru kuruluşları taklit edecek şekilde yapılandırılmıştır:downloads.helpsdeskmicrosoft[.]iletişim” Ve “public.open-dns[.]İngiltere“, kullanıcıları aldatmayı amaçlayan hedefli bir kimlik avı kampanyası öneriyor.
Etki alanları ve yapılandırmalar, saldırganların muhtemelen belirli sektörleri veya varlıkları hedef aldığını gösteriyor. Muhtemelen tespit edilmekten kaçınmak veya altyapının hala geliştirilme aşamasında olması nedeniyle sunucularda güncel TLS sertifikalarının bulunmadığı dikkat çekti.
Temel teknik göstergeler, belirlenen sunuculardaki paylaşılan SSH anahtarlarını, yapılandırma modellerini ve genel anahtarları içerir.
İşaret konfigürasyonları şu gibi uç noktaları ortaya çıkardı:http://downloads.yourcoupons[.]net/jquery-3.3.1.min.js” ve normal trafiğe uyum sağlayacak şekilde tasarlanmış kullanıcı aracıları.
Bu sunuculardan alınan veriler, araştırmacıların saldırganların taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) daha ayrıntılı analiz etmelerine olanak sağladı.
Araştırmacılar ayrıca Cobalt Strike’ın korsan sürümleriyle ilişkili filigran kullanan başka bir sunucu kümesini de tespit etti.
Bu küme, sürüm ve yapılandırmalarda önemli farklılıklar sergiledi ancak aracın kırık sürümlerinin siber kampanyalarda ısrarla kötüye kullanıldığının altını çizdi.
Bu keşif, Cobalt Strike gibi siber güvenlik araçlarının iki uçlu doğasının altını çiziyor. Meşru güvenlik testleri açısından çok değerli olsalar da, bunların tehdit aktörleri tarafından kötüye kullanılması dünya çapındaki kuruluşlar için önemli riskler oluşturmaktadır.
Bulgular, ortaya çıkan tehditleri tespit etmek için bu tür araçlardaki hem yaygın hem de nadir filigranların izlenmesinin önemini vurgulamaktadır.
Siber güvenlik ekiplerine, güvenilir markaların kimliğine bürünen altyapılara karşı dikkatli olmaları ve Cobalt Strike gibi araçların sağladığı gelişmiş kaçırma tekniklerine karşı savunmaları güçlendirmeleri tavsiye ediliyor.
Saldırganlar uyum sağlamaya devam ettikçe, proaktif tehdit avcılığı ve güçlü tespit mekanizmaları, bu tür kötü niyetli kampanyalardan kaynaklanan risklerin azaltılmasında kritik öneme sahip olmaya devam ediyor.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses