La semaine dernière, Google Cloud a révélé avoir identifié 34 versions piratées différentes de l’outil Cobalt Strike dans la nature, dont la plus ancienne a été livrée en novembre 2012. Les versions, allant de 1.44 à 4.7, totalisent 275 fichiers JAR uniques, selon les conclusions de l’équipe Google Cloud Threat Intelligence (GCTI). La dernière version de Cobalt Strike est la version 4.7.2. Cobalt Strike, développé par Fortra (née HelpSystems), est un cadre de confrontation populaire utilisé par les équipes rouges pour simuler des scénarios d’attaque et tester la résilience de leurs cyberdéfense. Il comprend un serveur d’équipe qui agit comme le centre de commande et de contrôle (C2) pour réquisitionner à distance les appareils infectés et un intermédiaire conçu pour fournir une charge utile de la prochaine étape appelée Beacon, un implant complet qui rend compte au C2 serveur.
Compte tenu de sa large gamme de fonctionnalités, les versions non autorisées du logiciel ont été de plus en plus militarisées par de nombreux acteurs de la menace pour faire avancer leurs activités de post-exploitation. « Alors que l’intention de Cobalt Strike est d’émuler une véritable cybermenace, les acteurs malveillants se sont accrochés à ses capacités et l’utilisent comme un outil robuste pour le mouvement latéral dans le réseau de leur victime dans le cadre de leur charge utile d’attaque de deuxième étape », Greg Sinclair, un rétro-ingénieur de la filiale Chronicle de Google, a déclaré. Dans le but de lutter contre cet abus, GCTI a publié un ensemble de règles YARA open source pour signaler différentes variantes du logiciel utilisé par des groupes de piratage malveillants. L’idée est « d’exciser les mauvaises versions tout en laissant intactes les versions légitimes », a déclaré Sinclair, ajoutant que « notre intention est de ramener l’outil dans le domaine des équipes rouges légitimes et de rendre plus difficile l’abus des méchants ».