A Google Cloud kutatói bejelentették, hogy 34 különböző Cobalt Strike feltört verziót fedeztek fel, amelyekben összesen 275 egyedi JAR fájl található.
A Cobalt Strike eredetileg egy fizetős penetrációs tesztelési termék, amely lehetővé teszi a támadó számára, hogy egy “Beacon” nevű agentet telepítsen a célgépre. A Beacon képes parancsfuttatásra, keyloggingra, fájlátvitelre, jogosultságnövelésre, port szkennelésre, lateral movementre és SOCKS proxyra.
A GCTI (Google Cloud Threat Intelligence) kifejlesztett egy YARA szabálykészletet, amellyel nagy pontossággal észlelhetők a Cobalt Strike hackelt változatai. A szakértők a Cobalt Strike JAR fájl verzióit az 1.44-es verziótól kezdve (amely 2012-ben jelent meg) egészen az elemzés publikálásának időpontjában aktuális 4.7-es verzióig tudták lokalizálni.
A kutatók katalogizálták a sablonokat és beacon-öket, beleértve a Cobalt Strike által az 1.44-es verzió óta használt XOR kódolásokat is. A GCTI észrevette, hogy a támadásban használt eszköz feltört verziói nem a Fortra gyártó legfrissebb példányai, hanem azokhoz képest legalább egy kiadási verzióval korábbiak, emiatt a Google ezekre koncentrált.
A Google által végzett tevékenység célja az eszköz feltört változatait érintő rosszindulatú tevékenységek észlelésének javítása. Ezek nem érintették a penetrációs tesztek és a red teamek által használt eszközök legitim verzióit.
