Anzeige

Malware

Im laufenden Jahr beobachtet Proofpoint einen noch nie dagewesenen Einsatz von Cobalt Strike als Schadsoftware.

Zwar ist Cobalt Strike in erster Linie ein legitimes Sicherheitstool, das von Penetrationstestern verwendet wird, um die Aktivitäten von Cyberkriminellen in einem Netzwerk zu emulieren. Allerdings wird es zunehmend auch von den kriminellen Angreifern selbst genutzt. Allein zwischen 2019 und 2020 verzeichnete Proofpoint einen Anstieg bei der Nutzung des Tools durch kriminelle Akteure um 161 Prozent.

Bei den Ermittlungen rund um die SolarWinds-Attacken, die im Dezember 2020 ans Tageslicht kamen, stellten die Cyberforensiker fest, dass in diesem Rahmen auch Cobalt Strike Beacon als Schadsoftware zum Einsatz kam. Doch die illegale Nutzung dieses Tools reicht schon viel weiter in die Vergangenheit zurück: Ursprünglich wurde Cobalt Strike 2012 als Reaktion auf Lücken in einem bestehenden Red-Team-Tool entwickelt, dem Metasploit Framework. Daraufhin wurde Cobalt Strike 3.0 als eigenständige Plattform zur Emulation von Angreifern im Jahr 2015 eingeführt. Und schon im darauffolgenden Jahr konnten die Security-Experten von Proofpoint erste cyberkriminelle Gruppen beobachten, die das Tool für ihre Zwecke einsetzten.

Aktuell verwenden verschiedene Gruppen von Bedrohungsakteuren Cobalt Strike, um sich Zugang zu ihren Zielorganisationen zu verschaffen. Proofpoint geht in diesem Zusammenhang auf Basis seiner ihm vorliegenden Daten mit hoher Wahrscheinlichkeit davon aus, dass Cobalt Strike von den Cyberkriminellen als sogenannte Initial Access Payload verwendet wird. Anders als bei einer Payload der zweiten Stufe soll damit also zunächst ein erster Zugang zur Zielorganisation geschaffen werden.

Zu den illegalen Nutzern von Cobalt Strike zählen unter anderem:

  • TA800: Dabei handelt es sich um eine große Crimeware-Gruppe, die von Proofpoint seit Mitte 2019 beobachtet wird. Dieser Akteur versucht, Banking-Malware oder Malware-Loader, darunter The Trick und BazaLoader, zu verbreiten und zu installieren.
  • TA547: TA547 ist ebenfalls ein Crimeware-Akteur, der seit Oktober 2017 im Fokus der Security-Experten von Proofpoint steht. Die Gruppe verbreitet hauptsächlich Banking-Trojaner – einschließlich The Trick und ZLoader – in verschiedenen Ländern. Seit Mitte 2020 nutzt TA547 dazu bevorzugt gefährliche Microsoft Office-Anhänge. Im Februar 2021 begann die Gruppe mit der Verbreitung von Cobalt Strike als Payload der zweiten Stufe für Command and Control.
  • TA415: Bei TA415 handelt es sich um einen ein APT-Akteur (Advanced Persistent Threat), von dem angenommen wird, dass er mit staatlichen Institutionen der Volksrepublik China in Verbindung steht. Laut US-Gerichtsakten existiert eine Verbindung der Gruppe zum chinesischen Ministerium für Staatssicherheit.

Sherrod DeGrippo, Senior Director of Threat Research and Protection bei Proofpoint zur verstärkten Nutzung von Cobalt Strike durch Cyberkriminelle:

„Offensive Sicherheits-Tools sind nicht per se von bösartiger Natur, aber es lohnt sich genauer zu untersuchen, wie sich die illegale Nutzung der Frameworks durch APT-Akteure und Cyberkriminelle entwickelt hat. Die Verwendung öffentlich verfügbarer Tools fügt sich in einen breiteren Trend, den Proofpoint festgestellt hat: Bedrohungsakteure nutzen so viele legitime Tools wie möglich, inklusive der Verwendung von Windows-Prozessen wie PowerShell und WMI, der Injektion von bösartigem Code in legitime Binärdateien und der regelmäßigen Verwendung legitimer Dienste wie Dropbox, Google Drive, SendGrid und Constant Contact, um Malware zu hosten und zu verbreiten.

Die illegale Nutzung legitimer Tools ist Teil einer Debatte, die in der IT-Security-Branche seit Jahren geführt wird. Bedrohungsakteure des gesamten Crimeware- und APT-Spektrums sind dadurch umfassend mit legitimen Sicherheitstools bewaffnet und die Security-Teams müssen in der Folge gegen die am besten ausgestatteten Cyberkriminellen antreten.

Unsere Daten zeigen, dass Cobalt Strike derzeit häufiger von cyberkriminellen Gruppen und Akteuren aus dem Bereich Commodity Malware eingesetzt wird als von APT- und Spionage-Gruppen. Das bedeutet, dass Cobalt Strike in der Welt der Crimeware zum Mainstream geworden ist. Finanziell motivierte Bedrohungsakteure sind nun ähnlich umfassend ausgestattet wie diejenigen, die von verschiedenen Regierungen finanziert und unterstützt werden.“

www.proofpoint.com/de


Artikel zu diesem Thema

Cybercrime
Jun 30, 2021

Büro-Rückkehrende als Ziel für Cyber-Kriminelle

Am 01. Juli endet die Homeoffice-Pflicht in Deutschland. Dann müssen Arbeitgeber ihren…
Malware
Jun 22, 2021

FluBot-Malware - wie ich den Feind besiege

FluBot ist eine neue Android-Banking-Malware-Familie, deren Präsenz in den letzten…

Weitere Artikel

Gesundheitswesen IT

Neun Schwachstellen in Rohrpost-Software von Swisslog Healthcare

Sicherheitsforscher von Armis, dem Anbieter einer Unified Asset Visibility- und Sicherheitsplattform, geben die Entdeckung von neun kritischen Schwachstellen in der Nexus Control Panel-Software bekannt, die alle aktuellen Modelle der TransLogic Pneumatic…
Hacker

Hacker werden raffinierter und teilen sich Computer Vision-Tools

HP Inc. veröffentlicht mit dem neuen globalen „Threat Insights Report“ eine Analyse von realen Cybersecurity-Angriffen und Schwachstellen. Die Studie zeigt: Cybercrime-Aktivitäten nehmen rasant zu und werden immer raffinierter.
Phishing

Neuer Report zeigt Top Phishing-Maschen auf

Norton Labs, das globale Forschungs-Team von NortonLifeLock, veröffentlicht den zweiten Consumer Cyber Safety Pulse Report. Der quartalsweise erscheinende Report bietet wichtige Einblicke und Erkenntnisse in Cybersecurity-Vorfälle, die Verbraucher zum Ziel…
Hacker Russland

REvil-Ransomware – höfliche und russlandfreundliche Hacker

Vor allem jenseits des Atlantiks sorgte kürzlich ein Bericht der NBC für Furore: Dieser stellte fest, dass die REvil-Ransomware, die für die groß angelegte Kaseya-Supply-Chain-Attacke benutzt wurde, so programmiert ist, dass sie keine russischen Rechner…
Cyber Security

Phishing-Angriffe: 65 Prozent der Opfer machten Schulung

Cloudian veröffentlichte seinen 2021 Ransomware Victims Report. Die Umfrage ergab, dass 54 Prozent der Opfer zum Zeitpunkt des Angriffs bereits an einer Anti-Phishing-Schulung teilgenommen und 49 Prozent einen Perimeter-Schutz installiert hatten.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.