微软旨在阻止网络犯罪分子使用Cobalt Strike的破解副本

微软宣布已采取法律行动来阻止网络犯罪分子非法使用后开发工具Cobalt Strike的副本。

Cobalt Strike是一种付费渗透测试产品，允许攻击者在受害机器上部署名为“Beacon”的代理。Beacon为攻击者提供了丰富的功能，包括但不限于命令执行、按键记录、文件传输、SOCKS代理、特权升级、mimikatz、端口扫描和横向移动。 

微软数字犯罪部门(DCU)宣布已与开发和维护该工具的公司Fortra以及健康信息共享和分析中心(Health-ISAC)合作，以遏制网络犯罪分子滥用Cobalt Strike。

微软DCU在美国获得了一项法院命令，要求删除破解版的Cobalt Strike（“指被盗、未经许可或未经授权的工具版本或副本”），以便网络犯罪分子无法再使用它们。

威胁行为者，包括勒索软件团体和民族国家行为者，在获得对目标网络的初始访问权限后使用Cobalt Strike。该工具用于执行多种恶意活动，包括提升权限、横向移动和部署额外的恶意负载。

“更具体地说，Cobalt Strike的破解版本允许被告获得对受害者机器的控制权，并通过连接的网络横向移动以找到其他受害者并安装恶意软件。这包括安装勒索软件，如Conti、LockBit、Quantum Locker、Royal、Cuba、BlackBasta、BlackCat和PlayCrypt，以阻止对系统的访问。从本质上讲，被告能够利用破解版的Cobalt Strike来残酷地强行进入受害机器并部署恶意软件。”“此外，一旦被告将恶意软件或勒索软件部署到运行微软Window操作系统的计算机上，被告就能够执行一系列涉及滥用微软受版权保护的声明代码的行为。”

微软观察到超过68次勒索软件攻击，涉及使用Cobalt Strike的破解副本，针对全球超过19个国家/地区的医疗保健组织。

这些袭击给被袭击的医院造成了巨大的恢复和维修费用损失，并中断了重要的病人护理服务。

微软还观察到民族国家行为者，包括来自俄罗斯、中国、越南和伊朗的APT组织正在使用Cobalt Strike的破解副本。

“微软、Fortra和Health-ISAC一直在不懈地努力提高生态系统的安全性，我们正在与FBI网络部门、国家网络调查联合工作组(NCIJTF)和欧洲刑警组织的欧洲网络犯罪中心(EC3)就此展开合作案件。虽然这一行动将影响犯罪分子的即时行动，但我们完全预计他们将试图恢复他们的努力。因此，我们的行动不是一劳永逸的。”

2022 年11月，Google Cloud研究人员宣布发现了34个不同的Cobalt Strike被黑发行版本，这些版本中共有275个独特的 JAR文件。

谷歌云威胁情报(GCTI)研究人员开发了一套YARA规则，用于高度准确地检测野外被黑客入侵的变体。研究人员注意到，每个Cobalt Strike版本都包含大约10到100个攻击模板二进制文件。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5568.html