Cobalt Strike vositasidagi zaiflik minglab C&C serverlarini aniqlash imkonini berdi.
So’nggi besh yil ichida Cobalt Strike kiberjinoyatchi guruhlar, jumladan, FIN6, FIN7 va APT29 tomonidan faol foydalanilmoqda.
Cobalt Strike vositasidagi zaiflik tadqiqotchilarga tajovuzkorlar tomonidan zararli dasturlarni boshqarish uchun ishlatiladigan bir necha ming buyruq va boshqaruv serverlarining joylashuvini aniqlashga yordam berdi. Cobalt Strike – bu maqsadli kompyuterga foydali yuklarni yetkazib berish va boshqarish imkonini beruvchi penetratsiya sinov tizimi. Ushbu vosita ko’plab kiberxavfsizlik tadqiqotchilari tomonidan kiberhujumlarni simulyatsiya qilish uchun ishlatiladi. Biroq, so’nggi besh yil ichida u turli kiberjinoyatchi guruhlar, jumladan, hukumat tomonidan homiylik qilingan FIN6, FIN7 (ya’ni Cobalt va Carbanak) va APT29 (ya’ni Cozy Bear) tomonidan ham faol foydalanilmoqda.
Fox-IT mutaxassislari Cobalt Strike server komponentida zararli serverlarni kuzatish imkonini beruvchi zaiflikni aniqladilar. Muammo shundaki, vositaning NanoHTTPD asosidagi veb-serveri tasodifan serverning HTTP javoblariga qo’shimcha joylar qo’shadi (quyidagi rasmda ko’rsatilganidek).
Qo’shimcha bo’shliq tadqiqotchilarga zararlangan mashinalardagi mayoqlar va C&C serverlari o’rtasidagi aloqani aniqlash imkonini berdi. 2015-yil yanvaridan 2019-yil fevraligacha tadqiqotchilar 7718 ta Cobalt Strike serverini aniqladilar (IP manzillarining to’liq ro’yxati bu yerda mavjud). Ba’zi IP manzillar xavfsizlik kompaniyalari tomonidan ishlatiladigan qonuniy Cobalt Strike misollariga tegishli bo’lishi mumkin bo’lsa-da, ko’plari kiberjinoyatchi guruhlar, xususan, Xitoyning APT10 guruhi, Bokbot bank troyanining infratuzilmasi va Cobalt guruhining qolgan a’zolari tomonidan boshqariladigan serverlar bilan bog’liq. Guruhning taxminiy rahbari o’tgan yilning mart oyida hibsga olingan va avgust oyida AQSh Adliya vazirligi Cobaltning uch a’zosini ayblagan.
Tadqiqotchilarning fikriga ko’ra, Cobalt Strike ishlab chiquvchilari 2019-yil yanvar oyi boshida yamalgan versiyasini (3.13) chiqargandan so’ng, qo’shimcha zaiflikni skanerlash ancha kam natijalar berdi. Hujumchilar ko’pincha Cobalt Strike-ning qaroqchilik, buzilgan yoki ro’yxatdan o’tmagan versiyalaridan foydalanishlarini hisobga olsak, mutaxassislar kelajakda skanerlash paytida aniqlangan serverlarning aksariyati zararli kampaniyalar bilan bog’liq bo’lishi mumkinligiga ishonishadi.
