Cómo se utiliza la herramienta de seguridad legítima Cobalt Strike en los ciberataques


Normalmente utilizado por las organizaciones para las pruebas de penetración, Cobalt Strike es aprovechado por los ciberdelincuentes para lanzar ataques, dice Proofpoint.

cobalt-strike.jpg

Imagen: HelpSystems

Los ciberdelincuentes están adoptando la misma poderosa herramienta que utilizan las organizaciones para mejorar su seguridad para ayudar a romper su seguridad. El well-known programa de pruebas de penetración Cobalt Strike experimentó un aumento del 161% en el uso malicioso de 2019 a 2020 y se considera una amenaza de alto volumen para 2021, según un informe publicado el martes por el proveedor de seguridad Proofpoint.

VER: Ransomware: lo que los profesionales de TI deben saber (PDF gratuito)

Al analizar el uso ilegítimo de Cobalt Strike, Proofpoint dijo que descubrió que los atacantes utilizan cada vez más la herramienta como una carga útil de acceso inicial, lo que significa que está lista para implementar la carga útil maliciosa inicial en las máquinas víctimas. Este es un cambio con respecto a instancias pasadas cuando Cobalt Strike se usó más como una herramienta de segunda etapa que jugó un papel una vez que se había accedido a los sistemas específicos.

Golpe de cobalto apareció por primera vez en 2012 como una herramienta para ayudar a las organizaciones a detectar brechas en sus defensas de seguridad. El programa funciona emulando un ataque true de los actores de amenazas avanzadas, mostrando a los usuarios exactamente dónde sus defensas son débiles y necesitan mejoras. En 2015, Cobalt Strike 3. llegó al mercado como un programa de emulación de adversario independiente. Poco tiempo después, en 2016, Proofpoint ya había comenzado a ver que los ciberdelincuentes usaban la herramienta para sus propios fines maliciosos.

Los ciberdelincuentes pueden apoderarse de Cobalt Strike a través de diferentes recursos. Pueden comprarlo directamente del proveedor, aunque eso requiere verificación. Pueden obtener una versión en la Dim Website a través de diferentes foros de piratas informáticos. Incluso pueden encontrar versiones ilegítimas del programa. En marzo de 2020, una versión crackeada de Cobalt Strike 4. estuvo disponible para los atacantes, según Proofpoint.

En el pasado, el uso de Cobalt Strike en ciberataques se limitaba en gran medida a grupos de ciberdelincuentes bien financiados y grupos de amenazas persistentes avanzadas (APT). Desde 2016 hasta 2018, alrededor del 66% de las campañas de Cobalt Strike presenciadas se atribuyeron a este tipo de grupos. Pero entre 2019 y 2021, ese porcentaje se desplomó a solo el 15%, lo que indica que Cobalt Strike ahora está siendo utilizado por atacantes más comunes.

«Nuestros datos muestran que Cobalt Strike es utilizado actualmente por más operadores de ciberdelitos y malware de productos básicos en common que APT y actores de amenazas de espionaje», dijo Sherrod DeGrippo, director senior de investigación y detección de amenazas de Proofpoint. «Esto significa que se ha generalizado completamente en el mundo del software program delictivo. Los actores de amenazas motivados financieramente ahora están armados de manera very similar a los financiados y respaldados por varios gobiernos».

Aún así, el uso de la herramienta en ciberataques sigue siendo una estrategia preferred entre los principales grupos de delitos cibernéticos.

Un grupo citado por Proofpoint es A800, que intenta implementar malware bancario o cargadores de malware. En el pasado, este grupo descargó un exploit de puerta trasera llamado BazaLoader, que luego descargó Cobalt Strike. Pero en febrero de 2021, A800 comenzó a usar Cobalt Strike como carga útil de primera etapa enviada a través de URL maliciosas.

Otro grupo observado usando Cobalt Strike es TA547. Desde mediados de 2021, este grupo ha estado utilizando archivos adjuntos maliciosos de Microsoft Business office para implementar malware. En febrero de 2021, TA547 comenzó a explotar Cobalt Strike como una carga útil de segunda etapa para comunicaciones de comando y control.

Un tercer grupo al que le gusta usar Cobalt Strike es TA415, que según Proofpoint se cree que está asociado con la República Preferred de China. Se encontró que este grupo usaba Cobalt Strike como carga útil de primera etapa a mediados de 2020. En septiembre pasado, el Departamento de Justicia de los EE. UU. Acusó a varios miembros de este grupo, describiendo su uso de Cobalt Strike en la acusación.

En una serie de campañas, TA415 utilizó la herramienta para atacar organizaciones en la industria de las aerolíneas. Es posible que el grupo incluso haya utilizado Cobalt Strike en un ataque a la cadena de suministro contra SITA, un proveedor de TI de varias aerolíneas de todo el mundo.

«Las herramientas de seguridad ofensivas no son intrínsecamente malas, pero vale la pena examinar cómo ha proliferado el uso ilegítimo de los marcos entre los actores de APT y los ciberdelincuentes por igual», dijo DeGrippo. «El uso de herramientas disponibles públicamente se alinea con una tendencia más amplia observada por Proofpoint: los actores de amenazas están utilizando tantas herramientas legítimas como sea posible, incluida la ejecución de procesos de Home windows como PowerShell y WMI la inyección de código malicioso en binarios legítimos y el uso frecuente de servicios permitidos como Dropbox , Google Generate, SendGrid y Continual Call para alojar y distribuir malware «.

De cara al futuro, Proofpoint dijo que espera que Cobalt Strike continúe utilizándose en ciberataques. Ya, decenas de miles de organizaciones se han visto afectadas por las campañas Cobalt Strike, un número que Proofpoint anticipa que aumentará este año.

Ver también



Enlace a la noticia primary