Az Europol által koordinált Operation Morpheus nevű bűnüldözési akció eredményeként közel 600 Cobalt Strike szervert sikerült lekapcsolni, amelyeket a kiberbűnözők az áldozatok hálózataiba való behatolásra használtak.
A bűnüldöző szervek 2024. június 24-e és 28-a között azonosítottak a bűncselekményekhez kapcsolódó IP címeket és domainneveket, amelyeket a bűnözők által használ támadási infrastruktúra részét képezték.
A művelet következő szakaszában az online szolgáltatóknak átadták az összegyűjtött információkat, hogy letiltsák az eszközök nem engedélyezett verzióit.
Összesen 690 IP-címet jelöltek meg, 27 ország online szolgáltatójánál. A hét végére e címek közül 593-at töröltek.
A 2021-ben kezdődött közös műveletet az Egyesült Királyság Nemzeti Bűnüldözési Ügynökség (NCA) vezette, és részt vettek benne Ausztrália, Kanada, Németország, Hollandia, Lengyelország, Németország és az Egyesült Államok hatóságai is. Bulgária, Észtország, Finnország, Finnország, Litvánia, Japán és Dél-Korea tisztviselői további támogatást nyújtottak.
A nyomozás teljes időtartama alatt több mint 730 fenyegetés-felderítési információt osztottak meg, amelyek közel 1,2 millió IoC-t tartalmaztak.
A nemzetközi művelet során olyan magánszektorbeli partnerek is felajánlották támogatásukat, mint a BAE Systems Digital Intelligence, a Trellix, a Spamhaus, az abuse.ch és a Shadowserver Foundation, amelyek a kiberbűnözői kampányokban használt Cobalt Strike szerverek azonosításához nyújtottak segítséget a továbbfejlesztett szkennelési, telemetriai és elemzési képességeik révén.
A Cobalt Strike a Fortra (korábban Help Systems) által, több mint egy évtizeddel ezelőtt kifejlesztett, népszerű szimulációs és behatolásvizsgálati eszköz, amely az IT-biztonsági szakértők számára lehetőséget kínál a biztonsági műveletek és az incidensekre adott válaszok gyenge pontjainak azonosítására.
A fenyegető szereplők azonban feltört másolatokat szereztek a szoftverből, így az egyik legszélesebb körben használt eszközzé vált az adatlopás és ransomware támadásokban.
A támadók, miután sikeresen bejutottak a célpont rendszerébe, a Cobalt Strike-ot a Beacon payload telepítésére használják, amely tartós távoli hozzáférést biztosít a megtámadott hálózatokhoz, és segít az érzékeny adatok ellopásában vagy további payloadok telepítésében.
A Microsoft szerint különböző, államilag támogatott fenyegető szereplők és hackercsoportok használják a Cobalt Strike feltört verzióit, akik külföldi kormányok, például Oroszország, Kína, Vietnam és Irán nevében tevékenykednek.
2022 novemberében a Google Cloud Threat Intelligence csapata közzétette az IoC-ket és 165 YARA-szabály gyűjteményét, hogy segítsen felismerni a Cobalt Strike komponenseket a hálózatokban.
