Europol a coordonné une action policière conjointe connue sous le nom d’opération Morpheus, qui a conduit au démantèlement de près de 600 serveurs Cobalt Strike utilisés par les cybercriminels pour infiltrer les réseaux des victimes.

Au cours d’une seule semaine à la fin du mois de juin, les forces de l’ordre ont identifié des adresses IP connues associées à des activités criminelles et des noms de domaine faisant partie de l’infrastructure d’attaque utilisée par des groupes criminels.

À l’étape suivante de l’opération, les fournisseurs de services en ligne ont reçu les informations collectées pour désactiver les versions sans licence de l’outil.

« Des versions plus anciennes et sans licence de l’outil Cobalt Strike red teaming ont été ciblées au cours d’une semaine d’action coordonnée depuis le siège d’Europol entre le 24 et le 28 juin », a déclaré Europol.

« Au total, 690 adresses IP ont été signalées à des fournisseurs de services en ligne dans 27 pays. À la fin de la semaine, 593 de ces adresses avaient été supprimées. »

L’opération Morpheus impliquait des autorités chargées de l’application de la loi d’Australie, du Canada, d’Allemagne, des Pays-Bas, de Pologne et des États-Unis et était dirigée par la National Crime Agency du Royaume-Uni.

Des partenaires industriels privés comme BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch, et la Fondation Shadowserver a également offert son soutien lors de cette opération internationale d’application de la loi, en fournissant de l’aide grâce à ses capacités améliorées d’analyse, de télémétrie et d’analyse pour identifier les serveurs Cobalt Strike utilisés dans les campagnes cybercriminelles.

Cette action perturbatrice coordonnée par Europol est l’aboutissement d’une enquête complexe qui a débuté il y a trois ans, en 2021.

« Au cours de toute l’enquête, plus de 730 informations sur les menaces ont été partagées contenant près de 1,2 million d’indicateurs de compromission », a ajouté Europol.

« En outre, l’EC3 d’Europol a organisé plus de 40 réunions de coordination entre les services répressifs et les partenaires privés. Au cours de la semaine d’action, Europol a mis en place un poste de commandement virtuel pour coordonner les actions répressives à travers le monde. »

Utilisé dans les attaques de ransomware et les campagnes de cyberespionnage
En avril 2023, Microsoft, Fortra et le Health Information Sharing and Analysis Center (Health-ISAC) ont également annoncé une vaste répression juridique des serveurs hébergeant des copies fissurées de Cobalt Strike, l’un des principaux outils de piratage des cybercriminels.

Cobalt Strike a été publié par Fortra (anciennement Help Systems) il y a plus de dix ans en tant qu’outil de test d’intrusion commercial légitime permettant aux équipes rouges d’analyser l’infrastructure réseau à la recherche de vulnérabilités de sécurité. Cependant, les auteurs de menaces ont obtenu des copies fissurées du logiciel, ce qui en fait l’un des outils les plus utilisés dans le vol de données et les attaques par ransomware.

Les attaquants utilisent Cobalt Strike pendant la phase d’attaque post-exploitation pour déployer des balises qui fournissent un accès distant persistant aux réseaux compromis et aident à voler des données sensibles ou à déposer des charges utiles malveillantes supplémentaires.

Microsoft affirme que divers acteurs de la menace soutenus par l’État et des groupes de piratage utilisent des versions fissurées de Cobalt Strike tout en opérant pour le compte de gouvernements étrangers, tels que la Russie, la Chine, le Vietnam et l’Iran.

En novembre 2022, l’équipe Google Cloud Threat Intelligence a également ouvert une collection d’indicateurs de compromission (IOC) et 165 règles YARA pour aider les défenseurs à détecter les composants Cobalt Strike dans leurs réseaux.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *