Η
Europol
συντόνισε μια κοινή δράση επιβολής του νόμου γν
ω
στή ως Operation Morpheus, η οποία οδήγησε στην κατάργηση σχεδόν 600 διακομιστών Cobalt Strike που χρησιμοποιούνταν από εγκληματίες του
κυβερνοχώρο
υ για να διεισδύσουν στα δίκτυα των θυμάτων.
Κατά τη διάρκεια μιας εβδομάδας στα τέλη Ιουνίου, οι αρχές επιβολής του νόμου εντόπισαν γνωστές διευθύνσεις IP που σχετίζονται με εγκληματικές δραστηριότητες και ονόματα τομέα που αποτελούσαν μέρος της υποδομής επίθεσης που χρησιμοποιούνταν από εγκληματικές ομάδες.
Στο επόμενο στάδιο της λειτουργίας, οι πάροχοι διαδικτυακών υπηρεσιών έλαβαν τις πληροφορίες που συλλέχθηκαν για να απενεργοποιήσουν τις μη αδειοδοτημένες εκδόσεις του εργαλείου.
«Παλαιότερες, μη αδειοδοτημένες εκδόσεις του εργαλείου ομαδοποίησης Cobalt Strike red στοχοποιήθηκαν κατά τη διάρκεια μιας εβδομάδας δράσης που συντονίστηκε από τα κεντρικά γραφεία της Europol μεταξύ 24 και 28 Ιουνίου», δήλωσε η Europol.
“Συνολικά 690 διευθύνσεις IP επισημάνθηκαν σε παρόχους διαδικτυακών υπηρεσιών σε 27 χώρες. Μέχρι το τέλος της εβδομάδας, 593 από αυτές τις διευθύνσεις είχαν αφαιρεθεί.”
Στην επιχείρηση Morpheus συμμετείχαν αρχές επιβολής του νόμου από την Αυστραλία, τον Καναδά, τη Γερμανία, την Ολλανδία, την Πολωνία και τις Ηνωμένες Πολιτείες και ηγούνταν
Εθνική Υπηρεσία Εγκλήματος του Ηνωμένου Βασιλείου
.
Συνεργάτες του ιδιωτικού κλάδου όπως η BAE Systems Digital Intelligence, η Trellix, η Spamhaus, η abuse.ch και το The Shadowserver Foundation πρόσφεραν επίσης την υποστήριξή τους κατά τη διάρκεια αυτής της διεθνούς επιχείρησης επιβολής του νόμου, παρέχοντας βοήθεια μέσω των βελτιωμένων δυνατοτήτων σάρωσης, τηλεμετρίας και ανάλυσης για τον εντοπισμό διακομιστών Cobalt Strike που χρησιμοποιούνται σε εκστρατείες κυβερνοεγκληματικότητας.
Αυτή η ανατρεπτική ενέργεια που συντονίζει η Europol είναι το επιστέγασμα μιας περίπλοκης έρευνας που ξεκίνησε πριν από τρία χρόνια, το 2021.
«Κατά τη διάρκεια ολόκληρης της έρευνας, κοινοποιήθηκαν περισσότερα από 730 στοιχεία πληροφοριών για τις απειλές που περιείχαν σχεδόν 1,2 εκατομμύρια δείκτες συμβιβασμού», πρόσθεσε η Europol.
“Επιπλέον, η EC3 της Europol διοργάνωσε περισσότερες από 40 συναντήσεις συντονισμού μεταξύ των υπηρεσιών επιβολής του νόμου και των ιδιωτικών εταίρων. Κατά τη διάρκεια της εβδομάδας δράσης, η Europol δημιούργησε ένα εικονικό διοικητικό κέντρο για να συντονίσει τη δράση επιβολής του νόμου σε όλο τον κόσμο.”
Χρησιμοποιείται σε επιθέσεις ransomware και εκστρατείες κυβερνοκατασκοπείας
Τον Απρίλιο του 2023, η Microsoft, η Fortra και το Κέντρο Διαμοιρασμού και Ανάλυσης Πληροφοριών Υγείας (Health-ISAC) ανακοίνωσαν επίσης μια ευρεία νομική καταστολή σε διακομιστές που φιλοξενούν σπασμένα αντίγραφα του Cobalt Strike, ενός από τα κύρια εργαλεία χάκερ των εγκληματιών στον κυβερνοχώρο.
Το Cobalt Strike κυκλοφόρησε από την Fortra (πρώην Help Systems) πριν από μια δεκαετία ως ένα νόμιμο εργαλείο εμπορικής δοκιμής διείσδυσης για κόκκινες ομάδες για σάρωση υποδομής δικτύου για ευπάθειες ασφαλείας. Ωστόσο, οι φορείς απειλών έχουν αποκτήσει σπασμένα αντίγραφα του λογισμικού, καθιστώντας το ένα από τα πιο ευρέως χρησιμοποιούμενα εργαλεία για κλοπή δεδομένων και επιθέσεις ransomware.
Οι εισβολείς χρησιμοποιούν το Cobalt Strike κατά το στάδιο της επίθεσης μετά την εκμετάλλευση για να αναπτύξουν beacons που παρέχουν σταθερή
απομακρυσμένη πρόσβαση
σε παραβιασμένα δίκτυα και βοηθούν στην κλοπή ευαίσθητων δεδομένων ή την απόρριψη πρόσθετων κακόβουλων ωφέλιμων φορτίων.
Η Microsoft λέει ότι διάφοροι φορείς απειλών που υποστηρίζονται από το κράτος και ομάδες hacking χρησιμοποιούν σπασμένες εκδόσεις του Cobalt Strike ενώ λειτουργούν για λογαριασμό ξένων κυβερνήσεων, όπως η Ρωσία, η Κίνα, το Βιετνάμ και το Ιράν.
Τον Νοέμβριο του 2022, η ομάδα
Google Cloud
Threat Intelligence δημιούργησε επίσης μια συλλογή δεικτών συμβιβασμού (IOC) και 165 κανόνων YARA για να βοηθήσει τους υπερασπιστές να εντοπίσουν στοιχεία Cobalt Strike στα δίκτυά τους.
VIA:
bleepingcomputer.com
0