Säkerhetsexperter på Proofpoint har under 2021 observerat en allt större ökning av antalet Cobalt Strike-relaterade attacker – ett säkerhetsverktyg som ofta används för att efterlikna hotaktörens aktivitet i ett nätverk.
Det används dock också alltmer av nätkriminella. Från 2019 till 2020 observerade Proofpoint en ökning på 161 procent i nätkriminellas användning av verktyget – och kurvan har fortsatt peka uppåt under 2021.
Cobalt Strike debuterade 2012 som svar på brister i ett befintligt verktyg för att simulera verkliga attacker, Metasploit Framework. 2015 lanserades Cobalt Strike 3.0 som en fristående emuleringsplattform. Året därpå började Proofpoint-forskare observera att nätkriminella använde Cobalt Strike.
I december 2020 rapporterades det om nätverksövervakningsprogrammet SolarWinds – och bland de verktyg som användes för ändamålet fanns Cobalt Strike Beacon. Denna kampanj tillskrevs nätkriminella som arbetar för Rysslands underrättelsetjänst – en grupp med Cobalt Strike i sin verktygslåda sedan åtminstone 2018. Denna aktivitet var en del av en attackkedja som gjorde det möjligt att i hemlighet kapa ett relativt litet antal offer.
Historiskt är Cobalt Strike-användning i skadlig verksamhet förknippad med välkända hotaktörer, inklusive stora cyberbrottsoperatörer som TA3546. Men den trenden har minskat dramatiskt de senaste åren – från 2019 och fram till i dag kan bara 15 procent av Cobalt Strike-kampanjer tillskrivas kända hotaktörer.
Cobalt Strike är unikt genom att dess inbyggda funktioner gör det möjligt att snabbt distribuera och operera oavsett tillgång till mänskliga eller ekonomiska resurser. Det är också enkelt att skräddarsy verktyget för specifika attacker för att undvika att bli upptäckt. Dessutom: om en organisation har ett team som aktivt använder Cobalt Strike i simulerade attacker riskerar skadlig trafik att misstas som legitim.
De tidigaste Cobalt Strike-kampanjerna använde vanligtvis e-posthot med skadliga dokumentbilagor för att skicka ut skadlig kod, men kampanjer som distribuerar skadliga webbadresser direkt i e-postmeddelandet är numera vanligare förekommande.
Cobalt Strike har observerats i en mängd attackkedjor vid sidan av skadlig programvara som The Trick, BazaLoader, Ursnif och IcedID. I dessa fall laddar och kör den skadliga koden Cobalt Strike. På samma sätt finns det ett brett utbud av tekniker som används i fall där Cobalt Strike levereras direkt, till exempel via skadliga makron i Office-dokument, komprimerade filer, PowerShell, dynamiskt data exchange (DDE), HTA / HTML-filer och trafikdistributionssystem.
Efter att Cobalt Strike installerats möjliggörs bland annat distribution av ransomware över nätverkssystem. Cobalt Strike Beacon har också förmågan att höja behörigheter, ladda och utföra ytterligare verktyg och att injicera dessa funktioner i befintliga pågående processer för att undvika upptäckt.