Código-fonte do Cobalt Strike Supostamente compartilhado online
Violações e incidentes 13 de novembro de 2020 Cyware Alerts – Hacker News
Código-fonte do Cobalt Strike Supostamente compartilhado online
O código-fonte do Cobalt Strike, um kit de ferramentas de teste de penetração legítimo usado por equipes vermelhas, supostamente vazou online. A ferramenta também é bastante popular no mundo do cibercrime.
Os especialistas temem que esse código possa ser reutilizado, atualizado ou aprimorado pelos grupos do cibercrime que o exploram.
O que aconteceu?
Cobalt Strike vem com vários recursos e permite que seus usuários realizem uma variedade de operações complicadas relacionadas a intrusões. Recentemente, foi criado um repositório GitHub que parecia conter o código-fonte do Cobalt Strike 4.0, lançado em 5 de dezembro de 2019. Embora o código-fonte não seja o original, é uma questão de grande preocupação com a segurança.
- No suposto código-fonte vazado, uma verificação de licença para Cobalt Strike foi removida para compiladores que desejam quebrar o programa.
- A pessoa por trás desse vazamento descompilou manualmente o código Java e corrigiu todas as dependências.
- Até agora, o repositório foi bifurcado 172 vezes, tornando mais difícil impedir a propagação do código-fonte.
Uso recente desta ferramenta
- Cobalt Strike é freqüentemente usado por cibercriminosos para pós-exploração, comunicação secreta e pivotamento de navegador, entre outros fins maliciosos. Essa ferramenta se tornou a escolha preferida entre os operadores de ransomware.
- Recentemente, os operadores de ransomware usaram anúncios falsos e maliciosos para atualizações do Microsoft Teams, junto com backdoors que usavam Cobalt Strike. Além disso, os cibercriminosos foram vistos explorando servidores Oracle WebLogic vulneráveis para implantar beacons Cobalt Strike.
Conclusão
O suposto vazamento do código-fonte de uma ferramenta tão ofensiva abre portas para novos desafios para agências de segurança e analistas. Portanto, os especialistas sugerem várias atividades de precaução, como procurar a porta aberta no 50050 / TCP ou verificar o certificado TLS padrão do fornecedor. Além disso, limitar os privilégios de administrador a usuários essenciais pode ajudar.
Fonte: https://cyware.com/news/source-code-of-cobalt-strike-allegedly-shared-online-94ff7fe9