- 14,594
- 22
- 8 Ноя 2022
Злоумышленники нашли применение новым возможностям инструмента.
Специалисты Hunt Для просмотра ссылки Войдиили Зарегистрируйся группу серверов, использующих последнюю версию инструмента Cobalt Strike 4.10, выпущенную в июле 2024 года. Несмотря на меры по предотвращению несанкционированного использования программы, злоумышленники продолжают использовать Cobalt Strike для атак. Серверы выделяются уникальным водяным знаком, который встречается всего на 5 других IP-адресах в интернете.
Первые данные появились 19 ноября, когда сканирование показало, что связанные с серверами домены копируют известные бренды. Это может быть частью фишинговой схемы. Большинство серверов размещены в инфраструктуре Amazon в США, один из них использует услуги Microsoft. Все сервера используют порт 80 для соединения и схожие конфигурации – одинаковые SSH-ключи, сертификаты и настройки перенаправления.
Версия 4.10 Cobalt Strike Для просмотра ссылки Войдиили Зарегистрируйся в инструмент. Например, BeaconGate помогает скрывать действия, Sleepmask-VS маскирует активность во время бездействия, а Postex Kit добавляет мощные инструменты постэксплуатации. Такие возможности предназначены для легальных целей, но активно используются злоумышленниками.
Исследователи обнаружили, что водяной знак 688983459 встречался только на 7 IP-адресах, что позволило связать серверы с определёнными доменами (downloads.toptechmanagementgroup[.]com и downloads.helpsdeskmicrosoft[.]com), которые похожи на названия компаний. Предполагается, что такие домены используются для маскировки вредоносного трафика или для целевых атак на конкретные отрасли.
В ходе анализа выявлена ещё одна группа серверов с водяным знаком «1», который часто связан со взломанными версиями Cobalt Strike. Хотя связи с известными атаками, например, FinSpy, не обнаружено, найденные данные подчёркивают важность изучения редких и нестандартных идентификаторов.
На серверах не было недавних TLS -сертификатов, что может говорить о начальной стадии работы или попытках избежать лишнего внимания. Некоторые полезные нагрузки были извлечены для анализа. Это поможет улучшить защиту, разработать новые сигнатуры для обнаружения угроз и понять тактику атакующих.
Специалисты Hunt Для просмотра ссылки Войди
Первые данные появились 19 ноября, когда сканирование показало, что связанные с серверами домены копируют известные бренды. Это может быть частью фишинговой схемы. Большинство серверов размещены в инфраструктуре Amazon в США, один из них использует услуги Microsoft. Все сервера используют порт 80 для соединения и схожие конфигурации – одинаковые SSH-ключи, сертификаты и настройки перенаправления.
Версия 4.10 Cobalt Strike Для просмотра ссылки Войди
Исследователи обнаружили, что водяной знак 688983459 встречался только на 7 IP-адресах, что позволило связать серверы с определёнными доменами (downloads.toptechmanagementgroup[.]com и downloads.helpsdeskmicrosoft[.]com), которые похожи на названия компаний. Предполагается, что такие домены используются для маскировки вредоносного трафика или для целевых атак на конкретные отрасли.
В ходе анализа выявлена ещё одна группа серверов с водяным знаком «1», который часто связан со взломанными версиями Cobalt Strike. Хотя связи с известными атаками, например, FinSpy, не обнаружено, найденные данные подчёркивают важность изучения редких и нестандартных идентификаторов.
На серверах не было недавних TLS -сертификатов, что может говорить о начальной стадии работы или попытках избежать лишнего внимания. Некоторые полезные нагрузки были извлечены для анализа. Это поможет улучшить защиту, разработать новые сигнатуры для обнаружения угроз и понять тактику атакующих.
- Источник новости
- www.securitylab.ru
