Kiberjinoyatchilar o‘zlarini niqoblash uchun Cobalt Strike’ning eskirgan versiyalaridan foydalanmoqda
Hujumchilar, agar boshqa xakerlik guruhlari hali Cobalt Strike’ning yangi relizlariga o‘tmagan bo‘lsa, vositaning eskirgan versiyalaridan foydalanishni afzal ko‘radi.
Garchi Cobalt Strike ramkasini ishlab chiquvchilari joriy yilning yanvar va may oylarida (3.13 va 3.14 mos ravishda) yangilanishlarni chiqargan boʻlsa-da, oʻnlab serverlar haligacha platformaning eskirgan versiyalari bilan ishlamoqda, ularning baʼzilarida Cobalt Strike’ning pirat, cracked yoki roʻyxatdan oʻtmagan versiyalari ishlamoqda. Cobalt Strike – bu maqsadli kompyuterga foydali yuklarni yetkazib berish va nazorat qilish imkonini beruvchi penetratsion test tizimi. Boshqacha qilib aytganda, vosita faqat qonuniy foydalanish uchun mo’ljallangan. Litsenziyaning yuqori narxiga (3500 dollar) qo’shimcha ravishda, ishlab chiquvchilar asbobning jinoyatchilar qo’liga tushib qolishining oldini olish choralarini ko’rdilar, jumladan mijozlarni tekshirish, nazorat ostida eksport qilish va AQSh va Kanadadan tashqarida cheklangan foydalanish. Shunga qaramay, kiberjinoyatchilar ushbu vositaning litsenziyalangan nusxasini olish yo’llarini qidirmoqdalar; ba’zilar buning uchun 25 ming dollar to’lashga ham tayyor.
Cobalt Strike-ning buzilgan versiyalari Internetda mavjud, lekin ular ko’pincha orqa eshiklarni o’z ichiga oladi yoki asl nusxaning barcha xususiyatlaridan mahrum. Bundan tashqari, bunday dasturiy ta’minotni yangilab bo’lmaydi.
Zaif Cobalt Strike serverlarini aniqlashga yordam beradigan bir nechta ko’rsatkichlar mavjud: standart ishlab chiquvchi TLS sertifikatidan foydalanish; Cobalt Strike’dagi faol DNS server barcha DNS so’rovlariga soxta IP manzil bilan javob beradi; 50050/TCP portining mavjudligi; HTTP javobi «404 topilmadi» NanoHTTPD veb-serverlari uchun odatiy hisoblanadi; va serverning HTTP javoblarida qo‘shimcha bo‘shliqlar (bu zaiflik Cobalt Strike 3.13 da tuzatilgan).
Bir nechta usullarni birlashtirgan holda, Recorded Future mutaxassislari ramka yordamida 104 ta serverni aniqlay olishdi.
Agar boshqa xakerlik guruhlari hali Cobalt Strike’ning yangi versiyalariga o‘tmagan bo‘lsa, kiberjinoyatchilar e’tiborni jalb qilmaslik uchun asbobning eskirgan versiyalaridan foydalanishni afzal ko‘radilar. Mutaxassislarning fikriga ko’ra, boshqa mumkin bo’lgan sabab, yangi tuzilishga yangilash amalga oshirilgan o’zgarishlarni yo’qotishi mumkin.
«Cobalt Strike-ning buzilgan versiyalaridan foydalanish yoki standart Cobalt Strike nusxalarini o’rnatish tahdidlarni yashirish imkonini beradi va identifikatsiyani murakkablashtiradi. Bundan tashqari, buzilgan versiyalardan foydalangan holda, tajovuzkorlar eskirgan Cobalt Strike relizlari bilan «qorashishi» mumkin», deb tushuntirdi tadqiqotchilar.
