آبان ۱, ۱۴۰۳
  • twitter
  • telegram
  • linkedin
  • youtube
  • instagram
  • aparat

پلیس اروپا موفق به شناسایی و از کار انداختن ۵۹۳ سرور Cobalt Strike شد.

یوروپل، به عنوان پلیس اروپا، یک عملیات مشترک بین‌المللی به نام “عملیات Morpheus ” را هماهنگ کرده است که در نتیجه آن تقریباً ۶۰۰ سرور Cobalt Strike که توسط مجرمان سایبری برای نفوذ به شبکه‌های قربانیان به کار می‌رفتند، از کار انداخته شده‌اند.

در یک هفته از اواخر ماه ژوئن، نیروی انتظامی موفق به شناسایی آدرس‌های IP و دامنه‌هایی شده است که با فعالیت‌های جنایی در ارتباط بوده و به عنوان بخشی از زیرساخت‌های حملاتی که توسط گروه‌های جنایتکار استفاده می‌شدند، به کار می‌رفتند.

در مرحله بعدی عملیات، اطلاعات جمع‌آوری‌شده در اختیار ارائه‌دهندگان خدمات آنلاین قرار گرفت تا نسخه‌های غیرمجاز این ابزار را غیرفعال کنند.

یوروپل بیان کرده است که در طی یک هفته عملیات که بین ۲۴ و ۲۸ ژوئن از مقر یوروپل هماهنگ شده بود، نسخه‌های قدیمی و غیرمجاز ابزار تیم قرمز Cobalt Strike هدف قرار داده شده‌اند.

مجموعاً ۶۹۰ آدرس IP به ارائه‌دهندگان خدمات آنلاین در ۲۷ کشور گزارش شد. تا پایان هفته، ۵۹۳ تا از این آدرس‌ها از کار انداخته شده بودند.

عملیات Morpheus  با همکاری مقامات اجرای قانون از چندین کشور انجام شد و هدایت آن بر عهده آژانس ملی جرایم بریتانیا بود.

شرکت های خصوصی دیگری مانند BAE Systems Digital Intelligence، Trellix، Spamhaus، abuse.ch و The Shadowserver Foundation نیز در طول این عملیات اجرای قانون بین‌المللی، حمایت خود را ارائه و به شناسایی سرورهای Cobalt Strike که در حملات جنایتکارانه سایبری استفاده می‌شدند، کمک کردند.

این اقدام مخرب، که توسط یوروپل هماهنگ شده است، نتیجه‌ی یک تحقیق پیچیده است که سه سال پیش، در سال ۲۰۲۱ آغاز شده بود.

یوروپل افزود: در طول کل تحقیقات، بیش از ۷۳۰ قطعه اطلاعاتی درباره تهدیدات حاوی تقریباً ۱٫۲ میلیون ioc به اشتراک گذاشته شد.

علاوه بر این، EC3 یوروپل بیش از ۴۰ جلسه هماهنگی بین نیروهای انتظامی و شرکای خصوصی برگزار کرد. در هفته‌ی عملیاتی، یوروپل یک پست فرمان مجازی تأسیس کرد تا عملیات نیروهای انتظامی را در سراسر جهان هماهنگ کند.

استفاده در حملات باج افزار

در آوریل ۲۰۲۳، شرکت‌های Microsoft, Fortra و مرکز تحلیل و اشتراک اطلاعات سلامت (Health-ISAC) نیز اعلام کردند که به گسترده‌ترین عملیات قانونی در برابر سرورهایی که از کرک ابزار Cobalt Strike استفاده می کردند، پرداخته اند.

ابزار Cobalt Strike یکی از ابزارهای پرکاربرد و قدرتمند در زمینه تست نفوذ (Penetration Testing) و هک اختراق است. این ابزار اصلی برای ارتقاء امنیت شبکه‌ها و تست نفوذ در آن‌ها طراحی شده است و ابزار اصلی‌ای برای حملات قرار دادن (Post-Exploitation) است. Cobalt Strike اولین بار توسط Raphael Mudge توسعه داده شد و در حال حاضر به عنوان یک ابزار اصلی برای تیم‌های تست نفوذ و هکرها محسوب می‌شود.

مهاجمان از Cobalt Strike در مرحله حمله پس از بهره برداری(post-exploitation) استفاده می کنند تا beacons را نصب کنند که دسترسی از راه دور دائمی به سیستم قربانی را فراهم کند و به سرقت داده های حساس یا نصب payload های مخرب کمک می کند.

مایکروسافت اعلام کرده است که گروه‌های هکری تحت حمایت دولت هایی مانند روسیه، چین، ویتنام و ایران از نسخه های کرکی ابزار Cobalt Strike استفاده می کنند.

در نوامبر ۲۰۲۲، تیم Google Cloud Threat Intelligence مجموعه‌ای از IoC ها و ۱۶۵ رول Yara را به منظور کمک به تیم های دفاعی در جهت شناسایی مولفه های Cobalt Strike ارائه داد.

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آخرین مطالب