image

Politie haalt servers achter crimineel gebruik Cobalt Strike offline

woensdag 3 juli 2024, 16:37 door Redactie, 2 reacties
Laatst bijgewerkt: 03-07-2024, 16:55

Bij een internationale operatie waar Europol en de Nederlandse politie aan deelnamen is het crimineel gebruik van de tool Cobalt Strike aangepakt en zijn bijna zeshonderd ip-adressen offline gehaald. Dat meldt Europol vandaag. Cobalt Strike is door Fortra ontwikkelde software voor het uitvoeren van penetratietests. Via de software is het mogelijk om een besmet systeem op afstand opdrachten te geven. Deze opdrachten worden vanaf een externe server gegeven.

Cobalt Strike is een legitiem product waarvoor gebruikers moeten betalen. Een enkele licentie kost 5900 dollar per jaar. Daarnaast ondergaan kopers eerst een screening. Er zijn echter allerlei gelekte en gekraakte versies van de software in omloop die bij daadwerkelijke aanvallen wordt ingezet, zoals ransomware-aanvallen. Cobalt Strike wordt zo vaak bij aanvallen aangetroffen dat het Amerikaanse ministerie van Volksgezondheid hier eerder nog een waarschuwing voor gaf.

Vorige week deden politiediensten uit verschillende landen tijdens operatie 'Morpheus' onderzoek naar ip-adressen en domeinen die voor oudere, gekraakte versies van Cobalt Strike worden gebruikt. In totaal werden er 690 ip-adressen geïdentificeerd en aan providers in 27 landen doorgegeven. Aan het eind van de week waren 593 ip-adressen offline gehaald, aldus Europol. Bij de operatie werkten politiediensten samen met private bedrijven, waaronder BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch en The Shadowserver Foundation.

Reacties (2)
03-07-2024, 22:46 door Anoniem
Het zal vast in oude versies illegaal gebruikt worden door scriptkiddies, en wat scanners die zo wat credits op louche forums te krijgen maar als je een specifieke inrichting gaat bekijken op een zakelijke manier van beveiliging/aanval ga je toch specifieker op CVE specificaties aan de slag om te kijken wat de mogelijke risico's van een systeem zijn.

Een vulnerability scan van zelfs de opensource metasploit versie moet gelijke resultaten kunnen geven dus ik snap de hype niet zo, behalve dat het over dure licenties gaat. Iets dat ik verder mis waarom dit zo speciaal moet lijken?
04-07-2024, 10:32 door Anoniem
Door Anoniem: Het zal vast in oude versies illegaal gebruikt worden door scriptkiddies, en wat scanners die zo wat credits op louche forums te krijgen maar als je een specifieke inrichting gaat bekijken op een zakelijke manier van beveiliging/aanval ga je toch specifieker op CVE specificaties aan de slag om te kijken wat de mogelijke risico's van een systeem zijn.

Een vulnerability scan van zelfs de opensource metasploit versie moet gelijke resultaten kunnen geven dus ik snap de hype niet zo, behalve dat het over dure licenties gaat. Iets dat ik verder mis waarom dit zo speciaal moet lijken?

Er zijn een aantal verschillen in het gebruik van de genoemde tools. CVEs worden voornamelijk ontdenkt met behulp van vulnerability scan tools zoals Nessus/openVAS/Nexpose. Metasploit framework is een penetratie test tool die door penetratie testers wordt gebruikt om ontdenkte kwetsbaarheden aan te vallen.

Cobalt Strike is een simpel te gebruiken tool gericht op red teams, deze wordt gebruikt voor het genereren van profesioneel ontwikkelde malware "Beacons". De malware doet er alles aan om bijvoorbeeld detectie via netwerk verkeer te voorkomen en wordt vaak in combinatie met Metasploit gebruikt. Red teams gebruiken vaker technieken als social engineering of credential stuffing om toegang te krijgen tegenover (mis)bruiken van CVEs.

Het grote probleem van de gekraakte versies is dat nu iedereen de krachtige malware via een simpele GUI kan gebruiken.
Er alternativen zoals Metasploit's meterpreter, Sliver, Empire, etc die niet zo gemakkelijk in gebruik zijn.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.