Clicky

Google identifica 34 versiones descifradas y activas del popular kit de herramientas de piratería Cobalt Strike

Cobalt Strike

Normalmente se utiliza para simular escenarios de ataque y probar la resiliencia de las defensas cibernéticas

Google Cloud reveló la semana pasada que identificó activas 34 versiones pirateadas diferentes de la herramienta Cobalt Strike, la primera de las cuales se envió en noviembre de 2012.

Las versiones, que van de la 1.44 a la 4.7, suman un total de 275 archivos JAR únicos, según los hallazgos del equipo de Google Cloud Threat Intelligence (GCTI). La última versión de Cobalt Strike es la versión 4.7.2.

Cobalt Strike, desarrollado por Fortra (anteriormente HelpSystems), es un popular framework adversarial utilizado por los equipos rojos para simular escenarios de ataque y probar la resiliencia de sus defensas cibernéticas.

Comprende un Team Server que actúa como el centro de comando y control (C2) para requisar de forma remota los dispositivos infectados y un dispositivo de preparación que está diseñado para entregar una carga útil de siguiente etapa llamada Beacon, un implante con todas las funciones que informa al servidor C2.

Cobalt Strike malicioso

Dado su amplio conjunto de características, las versiones no autorizadas del software han sido cada vez más utilizadas como armas por muchos actores de amenazas para avanzar en sus actividades posteriores a la explotación.

"Si bien la intención de Cobalt Strike es emular una amenaza cibernética real, los actores malintencionados se han aferrado a sus capacidades, usándola como una robusta herramienta para el movimiento lateral en la red de su víctima como parte de su carga útil de ataque de segunda etapa", dijo Greg Sinclair, ingeniero inverso de la subsidiaria Chronicle de Google.

En un intento por abordar este abuso, GCTI ha lanzado un conjunto de reglas YARA de código abierto para marcar diferentes variantes del software utilizado por grupos de hackers maliciosos.

La idea es "eliminar las versiones malas y dejar intactas las legítimas", dijo Sinclair, y agregó que "nuestra intención es devolver la herramienta al dominio de los equipos rojos legítimos y dificultar el abuso de los malos".