Secondo Proofpoint, il tool Cobalt Strike viene sempre più spesso utilizzato negli attacchi cyber. Basti pensare che è cresciuto del 161% nel periodo 2019-2020.
Cobalt Strike è uno strumento di sicurezza legittimo utilizzato dai penetration tester per emulare l’attività di un autore pericoloso in una rete. Tuttavia, viene sempre più spesso utilizzato dai malintenzionati.
Un tool sempre più diffuso
Quando mappata nel framework MITRE ATT&CK, la visibilità di Proofpoint nella catena dell’attacco si concentra sui meccanismi di accesso iniziale, esecuzione e persistenza, analizzando in quale modo gli autori di minacce tentano di compromettere gli host e quali payload distribuiscono per primi.
Sulla base di questi dati, Proofpoint può evidenziare come Cobalt Strike stia diventando sempre più diffuso come payload di accesso iniziale, e non solo come strumento di seconda fase.
A dicembre 2020, il mondo è venuto a conoscenza di una campagna di spionaggio che è riuscita a mettere in ombra SolarWinds, popolare software di monitoraggio della rete.
Gli investigatori – che hanno rivelato, tra gli altri, l’uso di Cobalt Strike Beacon – attribuiscono questa campagna a persone che lavorano per i servizi segreti esteri della Russia, gruppo che utilizzava Cobalt Strike almeno dal 2018.
Cobalt Strike il tool preferito nei cyberattacchi
È possibile ottenere Cobalt Strike in diversi modi. Ad esempio acquistandolo direttamente dal sito web del vendor, il quale richiede una verifica. Oppure comprandone una versione sul dark web attraverso numerosi forum di hacking; o ancora utilizzando versioni craccate e illegittime del software.
Nel marzo 2020, una versione craccata di Cobalt Strike 4.0 è stata rilasciata e resa disponibile ai cybercriminali.
Rapido e unico
Utilizzato da una vasta gamma di malintenzionati, non è insolito che cybercriminali e APT sfruttino strumenti simili nelle loro campagne. Tuttavia Cobalt Strike è unico in quanto le sue capacità integrate consentono di distribuirlo e renderlo operativo in modo molto rapido, indipendentemente dalla sofisticazione dell’autore o dall’accesso a risorse umane o finanziarie. Il lavoro di simulazione degli attacchi e di penetration delle difese potrebbe diventare un po’ più semplice quando entrambe le parti utilizzano lo stesso strumento.
Ideale per creare build personalizzate
Cobalt Strike è anche session-based, il che significa che se gli autori possono accedere a un host sono in grado di completare un’operazione senza la necessità di stabilire persistenza. Non ci saranno artefatti rimanenti sull’host dopo che il software non sarà più in esecuzione in-memory. In sostanza: possono colpire e fuggire.
La malleabilità di Cobalt Strike lo rende anche molto utile per creare build personalizzate che aggiungono o rimuovono funzionalità al fine di raggiungere obiettivi o eludere il rilevamento. Per chi si occupa di protezione, i moduli personalizzati di Cobalt Strike spesso richiedono firme uniche. Quindi gli esperti di rilevamento delle minacce potrebbero essere obbligati a utilizzarlo ‘in the wild’.
Nei cyberattacchi Cobalt Strike è il preferito
Cobalt Strike è interessante anche per il suo intrinseco offuscamento. L’attribuzione diventa più complessa se tutti usano lo stesso strumento. Nel caso in cui un’organizzazione ha un red team che utilizza attivamente, il traffico pericoloso potrebbe essere scambiato per legittimo.
La facilità d’uso del software può migliorare le capacità di autori meno sofisticati, mentre quelli più abili evitano di dedicarsi allo sviluppo di qualcosa di nuovo dato che dispongono già di un ottimo strumento di lavoro.
