代号为“Morpheus 行动”的国际执法行动摧毁了犯罪分子使用的 593 台 Cobalt Strike 服务器。

admin 2024年7月4日12:20:50评论24 views字数 1988阅读6分37秒阅读模式

代号为“Morpheus 行动”的国际执法行动旨在打击对旧版未经授权的Cobalt Strike红队工具的犯罪滥用。

Cobalt Strike 平台是为对手模拟和红队行动而开发的,目前由网络安全软件公司 Fortra 提供。 过去几年来, 它 也受到了威胁行为者的青睐,包括APT29、  FIN7RYUKTrickbotConti

很容易找到攻击者在野使用的盗版软件版本。

MORPHEUS 行动由英国国家犯罪局牵头,澳大利亚、加拿大、德国、荷兰、波兰和美国的执法机构也参与其中。这项破坏性行动于 2021 年开始,结束了一项复杂的调查。

此次行动于 6 月 24 日至 28 日进行,由欧洲刑警组织协调,还与 BAE Systems Digital Intelligence、Trellix、Spamhaus、abuse.ch 和 Shadowserver Foundation 等私人合作伙伴合作。这些合作伙伴使用增强的扫描、遥测和分析功能来识别恶意活动和网络犯罪分子的使用。

执法专家确定了 690 个与犯罪活动有关的 IP 地址和各种域名。此次行动导致 27 个国家的 593 个 IP 地址被关闭。

“Fortra 已采取重大措施防止其软件被滥用,并在整个调查过程中与执法部门合作,以保护其工具的合法使用。然而,在极少数情况下,犯罪分子会窃取旧版本的 Cobalt Strike,创建破解副本以获取机器的后门访问权限并部署恶意软件。此类未经授权的工具版本与多项恶意软件和勒索软件调查有关,包括对 RYUK、Trickbot 和 Conti 的调查。”欧洲刑警组织发布的新闻稿写道。

“执法部门使用了一个称为恶意软件信息共享平台的平台,允许私营部门与执法部门共享实时威胁情报。在整个调查过程中,共享了超过 730 条威胁情报,其中包含近 120 万个攻击指标。”新闻稿总结道。“欧洲刑警组织的 EC3 组织了执法机构和私人合作伙伴之间的 40 多场协调会议。在行动周期间,欧洲刑警组织设立了一个虚拟指挥所,以协调全球的执法行动。”

2023 年 4 月,微软数字犯罪部门 (DCU) 宣布与开发和维护该工具的公司 Fortra 以及健康信息共享和分析中心 (Health-ISAC) 合作,以遏制网络犯罪分子对 Cobalt Strike 的滥用。

微软 DCU 在美国获得 法院命令 ,删除 Cobalt Strike 的破解版本(“指被盗、未经许可或其他未经授权的工具版本或副本”),以便网络犯罪分子不再使用它们。

威胁行为者(包括勒索软件团体和民族国家行为者)在获得目标网络的初始访问权限后使用 Cobalt Strike。该工具用于进行多种恶意活动,包括提升权限、横向移动和部署其他恶意负载。

“更具体地说,破解版的 Cobalt Strike 允许被告控制受害者的机器,并通过连接的网络横向移动以查找其他受害者并安装恶意软件。这包括安装勒索软件,如 Conti、  LockBit、Quantum Locker、Royal、Cuba、  BlackBasta、BlackCat 和 PlayCrypt,以阻止对系统的访问。本质上,被告能够利用破解版的 Cobalt Strike 野蛮地强行进入受害者机器并部署恶意软件。” 法院命令中写道。“此外,一旦被告将恶意软件或勒索软件部署到运行 Microsoft 的 Windows 操作系统的计算机上,被告就可以执行一系列涉及滥用 Microsoft 版权声明代码的操作。”

代号为“Morpheus 行动”的国际执法行动摧毁了犯罪分子使用的 593 台 Cobalt Strike 服务器。

威胁行为者DEV-0243的攻击流程示例 

微软观察到全球 19 个国家的医疗保健组织遭受了超过 68 起勒索软件攻击,这些攻击涉及使用 Cobalt Strike 的破解版本。

此次袭击给受袭击医院造成了巨大的经济损失,包括恢复和修复费用,以及关键病人护理服务的中断。

微软还观察到包括俄罗斯、中国、越南和伊朗的 APT 组织在内的民族国家行为者使用 Cobalt Strike 的破解版本。

“微软、Fortra 和 Health-ISAC 将继续不懈努力,提高生态系统的安全性,我们正在与 FBI 网络部门、国家网络调查联合工作组 (NCIJTF) 和欧洲刑警组织的欧洲网络犯罪中心 (EC3) 就此案展开合作。虽然这一行动将影响犯罪分子的直接行动,但我们完全预料到他们会试图恢复犯罪。因此,我们的行动并非一次性完成。”报告总结道。

2022 年 11 月,Google Cloud 研究人员 宣布 发现 34 个不同的 Cobalt Strike 被黑发布版本,这些版本中共有 275 个唯一的 JAR 文件。

Google Cloud Threat Intelligence (GCTI) 的研究人员开发了一套 YARA 规则,可以高精度地检测野外被黑客入侵的变体。研究人员注意到,每个 Cobalt Strike 版本都包含大约 10 到 100 个攻击模板二进制文件

 

原文始发于微信公众号(独眼情报):代号为“Morpheus 行动”的国际执法行动摧毁了犯罪分子使用的 593 台 Cobalt Strike 服务器。

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月4日12:20:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   代号为“Morpheus 行动”的国际执法行动摧毁了犯罪分子使用的 593 台 Cobalt Strike 服务器。https://cn-sec.com/archives/2918468.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息