Gruppi APT, mercenari informatici e singoli criminali informatici sostenuti dallo stato nazionale continuano a utilizzare Cobalt Strike per sviluppare nuove minacce.

Durante il BlackBerry Security Summit, ha annunciato un nuovo libro: Finding Beacons In the Dark: A Guide to Cyber ​​Threat Intelligence, che descrive in dettaglio l’evoluzione e la prevalenza di uno degli strumenti più pervasivi utilizzati oggi dagli attori delle minacce: Cobalt Strike Beacon. Il libro descrive in dettaglio i modi per proteggersi dai payload dannosi di Cobalt Strike e delinea come un solido ciclo di vita di Cyber ​​Threat Intelligence (CTI) e una soluzione di rilevamento e risposta estesa (XDR) possono fornire il contesto necessario per fermare queste minacce.

Sviluppato inizialmente come strumento di simulazione dell’avversario, Cobalt Strike si è evoluto in uno dei metodi di attacco più persistenti utilizzati dai gruppi Advanced Persistent Threat (APT) sponsorizzati dallo stato e dai mercenari criminali. Il libro mette in evidenza le attuali minacce che le organizzazioni devono affrontare, fornisce un quadro di difesa e scopre i collegamenti tra gli attacchi informatici precedentemente ritenuti disparati.

Cobalt Strike è ampiamente utilizzato dalle squadre rosse ed è stato pesantemente abusato dai criminali informatici a causa della sua malleabilità e accessibilità. Il software è ricco di funzionalità, consentendo la facilitazione di molti metodi di attacco ed è rimasto uno dei preferiti di numerose parti sponsorizzate dallo stato. Il software ha anche svolto un ruolo significativo nella proliferazione di ransomware osservata negli ultimi 18 mesi.

BlackBerry Shines Spotlight on Evolving Cobalt Strike Threat in New Book

Sia per le aziende che per i criminali informatici, l’acquisto di malware esistente e strumenti correlati tramite forum sotterranei può essere significativamente più economico rispetto allo sviluppo di tecnologia interna, rendendo l’uso di Cobalt Strike ideale in quanto presenta sfide di attribuzione alle forze dell’ordine. Questa sfida può essere ulteriormente complicata quando i gruppi di mercenari informatici lavorano per volere di attori più grandi, potenzialmente dello stato-nazione.

“Cobalt Strike presenta un software quasi perfetto per i criminali informatici, evidenziando un enigma centrale del settore della sicurezza: strumenti ben costruiti possono sia aiutare sia aumentare il crimine informatico”, ha affermato Eric Milam, VP Research and Intelligence, BlackBerry. “Cobalt Strike è ricco di funzionalità, ben supportato e gestito attivamente dai suoi sviluppatori. Il suo carico utile offre una vasta gamma di funzionalità per gli aggressori. Questo lo rende un’opzione interessante sia per i gruppi APT che per i neofiti del crimine informatico”.

Mentre la crescente proliferazione di Cobalt Strike all’interno dell’underground criminale presenta motivo di preoccupazione, lo stesso vale per il suo uso continuato da parte di sofisticati gruppi APT. Di  recente, nell’ottobre 2021,  APT41 è stato testimone dell’utilizzo del software nelle e-mail di phishing destinate ai cittadini indiani, mentre gli operatori Dridex hanno utilizzato pesantemente Cobalt Strike per sostenere le  loro recenti campagne di phishing e malspam .

“Lo scopo di questo libro è aiutare la comunità della sicurezza condividendo le nostre conoscenze, presentando i passi che abbiamo intrapreso per creare un sistema automatizzato per dare la caccia a Cobalt Strike e, soprattutto, dimostrando come ricavare informazioni significative sulle minacce dal set di dati risultante . Queste informazioni possono quindi essere utilizzate per fornire approfondimenti, tendenze e informazioni su gruppi di minacce e campagne”, ha affermato Billy Ho, Executive Vice President of Product Engineering, BlackBerry.

BlackBerry Finding Beacons In the Dark: A Guide to Cyber ​​Threat Intelligence sarà disponibile a novembre 2021 e può essere preordinato al seguente collegamento al sito web .