Código-fonte do Cobalt Strike Supostamente compartilhado online

Os especialistas temem que esse código possa ser reutilizado, atualizado ou aprimorado pelos grupos do cibercrime que o exploram.

O que aconteceu?

Cobalt Strike vem com vários recursos e permite que seus usuários realizem uma variedade de operações complicadas relacionadas a intrusões. Recentemente, foi criado um repositório GitHub que parecia conter o código-fonte do Cobalt Strike 4.0, lançado em 5 de dezembro de 2019. Embora o código-fonte não seja o original, é uma questão de grande preocupação com a segurança.

• No suposto código-fonte vazado, uma verificação de licença para Cobalt Strike foi removida para compiladores que desejam quebrar o programa.
• A pessoa por trás desse vazamento descompilou manualmente o código Java e corrigiu todas as dependências.
• Até agora, o repositório foi bifurcado 172 vezes, tornando mais difícil impedir a propagação do código-fonte.

Uso recente desta ferramenta

• Cobalt Strike é freqüentemente usado por cibercriminosos para pós-exploração, comunicação secreta e pivotamento de navegador, entre outros fins maliciosos. Essa ferramenta se tornou a escolha preferida entre os operadores de ransomware.
• Recentemente, os operadores de ransomware usaram anúncios falsos e maliciosos para atualizações do Microsoft Teams, junto com backdoors que usavam Cobalt Strike. Além disso, os cibercriminosos foram vistos explorando servidores Oracle WebLogic vulneráveis para implantar beacons Cobalt Strike.

Conclusão

O suposto vazamento do código-fonte de uma ferramenta tão ofensiva abre portas para novos desafios para agências de segurança e analistas. Portanto, os especialistas sugerem várias atividades de precaução, como procurar a porta aberta no 50050 / TCP ou verificar o certificado TLS padrão do fornecedor. Além disso, limitar os privilégios de administrador a usuários essenciais pode ajudar.

Fonte: https://cyware.com/news/source-code-of-cobalt-strike-allegedly-shared-online-94ff7fe9