www.LVTPR.comHerken zakelijke websitebezoekerswww.marcommit.nlwww.lubbersdejong.nl

2515 volgers @ICTberichten
Marcommit is hét full service B2B marketing bureau van Nederland! Wij helpen jouw bedrijf met offline en online marketing campagnes die écht werken.Herken zakelijke websitebezoekers
Deel dit nu via
Datum: (80 dagen geleden)
Bedrijf:
PR: AxiCom

Cobalt Strike steeds populairder onder cybercriminelen

In 2021 komt Cobalt Strike vaker dan ooit voor in data over bedreigingen. Cobalt Strike is een legitieme beveiligingstool die wordt gebruikt door pentesters om de activiteit van cybercriminelen in een netwerk te simuleren. De tool wordt echter ook steeds vaker gebruikt door malafide partijen. Proofpoint zag tussen 2019 en 2020 een toename van 161 procent in het gebruik van de tool door cybercriminelen. Dit komt overeen met observaties van andere security-bedrijven.

Op basis van data acht Proofpoint de kans groot dat Cobalt Strike alleen maar populairder wordt onder aanvallers als initial access payload. Het is niet langer een tool die cybercriminelen pas in de tweede fase gebruiken, wanneer ze de organisatie al zijn geïnfiltreerd.

Achtergrond
In december 2020 maakte de wereld kennis met een omvangrijke en effectieve spionagecampagne die SolarWinds wist te infiltreren. Onderzoekers onthulden dat de tools die de aanvallers gebruikten, onder meer Cobalt Strike Beacon bevatten. Deze specifieke aanval werd toegeschreven aan criminelen die werken voor de Russische inlichtingendienst - een groep die al sinds ten minste 2018 gebruikmaakt van Cobalt Strike. Deze spraakmakende aanval maakte deel uit van een slimme aanvalsketen waarmee geavanceerde cybercriminelen op slinkse wijze een relatief klein aantal slachtoffers wist te compromitteren.

Vroeger werd het gebruik van Cobalt Strike bij malafide activiteiten grotendeels geassocieerd met goed uitgeruste cybercriminelen. Onderzoekers van Proofpoint hebben twee derde van de geïdentificeerde Cobalt Strike-campagnes van 2016 tot en met 2018 toegeschreven aan goed uitgeruste cybercriminele organisaties of APT-groepen. Die verhouding nam de jaren daarna drastisch af - tussen 2019 en nu was slechts 15 procent van de Cobalt Strike-campagnes toe te schrijven aan welbekende aanvallers.

image
Afbeelding 1: Aantal e-mailberichten met een Cobalt Strike payload dat in de loop der tijd is waargenomen. De cijfers voor 2021 omvatten gegevens tot en met mei 2021.

De aantrekkingskracht van Cobalt Strike

Cobalt Strike wordt gebruikt door allerlei partijen, en hoewel het niet ongebruikelijk is dat cybercriminelen en APT-actoren vergelijkbare tools gebruiken in hun campagnes, is Cobalt Strike een uniek geval. Dit komt doordat het dankzij de ingebouwde functionaliteit snel kan worden gebruikt, ongeacht de vaardigheden van de aanvaller of de toegang tot personele of financiële middelen.

Cobalt Strike is ook sessiegebaseerd. Dat wil zeggen dat als cybercriminelen toegang hebben tot een host en een aanval kunnen uitvoeren zonder daarvoor lang aanwezig te zijn binnen het netwerk, er geen sporen zullen achterblijven. Met andere woorden: ze kunnen een aanval ongemerkt uitvoeren.

Aanvallers kunnen de configuratiemogelijkheden van Cobalt Strike ook gebruiken om aangepaste versies te maken die functies toevoegen of juist verwijderen om zo hun doelstellingen te bereiken of detectie te omzeilen. APT29 gebruikt bijvoorbeeld vaak aangepaste Cobalt Strike Beacon-loaders zodat hij niet opvalt tussen legitiem verkeer of om analyse te omzeilen.

Voor verdedigers vereisen aangepaste Cobalt Strike-modules vaak unieke handtekeningen. Specialisten die dit soort activiteit moeten detecteren, hebben dus vaak een inhaalslag te maken. Cobalt Strike is ook aantrekkelijk voor cybercriminelen vanwege de ingebouwde versluiering. Toeschrijving wordt moeilijker als iedereen dezelfde tool gebruikt. Als een organisatie een 'red team' heeft dat er actief gebruik van maakt, is het mogelijk dat schadelijk verkeer als legitiem wordt gezien. Het gebruiksgemak van de software kan de mogelijkheden van minder geraffineerde partijen vergroten.

Aanvalsketen
Proofpoint heeft tientallen spelers waargenomen die Cobalt Strike gebruiken. Net als hun legitieme tegenhangers profiteren cybercriminelen van de diverse aanvalsmethodes en toepassingen van de emulatiesoftware. Aanvallers gebruiken verschillende thema's, aanvalstypes, droppers en payloads.

Hoewel het aantal gevallen waarin Cobalt Strike als initiële payload wordt verzonden drastisch is toegenomen, blijft ook het gebruik als tweede fase payload populair. Cobalt Strike is aangetroffen in diverse aanvalsketens samen met malware zoals The Trick, BazaLoader, Ursnif, IcedID en vele andere populaire loaders. In dergelijke gevallen wordt Cobalt Strike meestal geladen en uitgevoerd door de malware die eraan voorafgaat. Evenzo zijn er allerlei technieken die worden gebruikt wanneer Cobalt Strike rechtstreeks wordt afgeleverd, zoals via kwaadaardige macro's in Office-documenten, gecomprimeerde uitvoerbare bestanden, PowerShell, dynamic data exchange (DDE), HTA/HTML-bestanden en verkeersdistributiesystemen.

Nadat Cobalt Strike is uitgevoerd en een Beacon is ingesteld voor C2-communicatie, valt op dat de criminelen netwerkverbindingen proberen te inventariseren en Active Directory-referenties dumpen. Hierbij proberen ze zich binnen de organisatie te verplaatsen naar een netwerkbron, zoals een Domain Controller, zodat ransomware kan worden verspreid over alle netwerksystemen.

Cobalt Strike Beacon kan niet alleen netwerken ontdekken en referenties dumpen, maar kan ook privileges verhogen, extra tools laden en uitvoeren, en deze functies in bestaande hostprocessen invoegen om detectie te voorkomen.

Vooruitblik
Onderzoekers van Proofpoint verwachten dat Cobalt Strike een veelgebruikt hulpmiddel zal blijven in de gereedschapskist van aanvallers. Volgens interne data zijn al tienduizenden organisaties het doelwit geweest van Cobalt Strike, op basis van waargenomen campagnes. De verwachting is dat dit aantal in 2021 zal toenemen.

image
Figuur 4: Aantal klanten dat het doelwit is van aanvallen met Cobalt Strike

"Onze gegevens laten zien dat Cobalt Strike momenteel meer wordt gebruikt door alledaagse cybercriminelen dan door APT-groepen en spionnen. Dit betekent dat Cobalt Strike volledig mainstream is geworden in de crimeware-wereld. Financieel gemotiveerde aanvallers beschikken nu over dezelfde wapens als aanvallers die worden gefinancierd en gesteund door verschillende overheden", aldus Sherrod DeGrippo, Senior Director Threat Research and Detection bij Proofpoint.

Conclusie
Cobalt Strike is een nuttige tool, zowel voor legitieme beveiligingsonderzoekers als voor cybercriminelen. De configuratiemogelijkheden in combinatie met de bruikbaarheid maken het een betrouwbaar en effectief middel voor aanvallers om data te stelen, zich binnen organisaties te verplaatsen en aanvullende malware te verspreiden.

Het gebruik van publiek beschikbare tools past in een bredere trend die door Proofpoint is waargenomen. Aanvallers gebruiken zoveel mogelijk legitieme tools om malware te hosten en te verspreiden. Voorbeelden hiervan zijn Windows-processen zoals PowerShell en WMI; het injecteren van kwaadaardige code in legitieme binaire code; en het gebruik van diensten zoals Dropbox en Google Drive.
Laatste van Proofpoint  
Nederlandse zorginstellingen zijn onvoldoende beschermd tegen e-mailfraude

Proofpoint identificeert nieuwe vorm van voorschotfraude met valse cryptoplatforms

Delta-variant leidt tot toename COVID-19-thema's in e-mailaanvallen
Wereldprimeur: International Patiënt Summary (IPS) uitwisseling door Drimpy

Privacysoftwaregigant ExpressVPN zwaar onder vuur

Planners presteren áchter de schermen
Fundaments wint FY21 Global Cloud Partner of the Year award van Cohesity

Extreme Networks rond overname van Ipanema - de SD WAN-divisie van Infovista - af

Thijs Vermaat nieuwe Managing Director Experis

Vertiv introduceert het meest uitgebreide platform voor IT-beheer op de markt voor hybride en gedistribueerde netwerken en edge computing

3 op de 5 Nederlanders wil werken bij bedrijf dat diversiteit als kernwaarde heeft 

Kaspersky Smart Home Security: een nieuw product om aangesloten apparaten thuis te beschermen

Ontdek het snelste toetsenbord ter wereld – de Razer Huntsman V2

SentinelOne breidt partner ecosysteem uit met nieuwe NDR-integraties

Nieuwste platform release van ServiceNow helpt bedrijven bij de grootste uitdagingen van het hybride werken door de inzet van workflows

Sophos-onderzoek: Meer dan 2 miljoen dollar aan herstelkosten bij ransomware-aanvallen in de financiële sector

Check Point Research: zwarte markt voor valse vaccinatiecertificaten is nu volwaardige industrie

Werving stijgt weer op prioriteitenlijstje Europese bedrijven

Neobanken laten traditionele banken achter door inzet Regtech

VMware benoemt Kit Colbert tot Chief Technology Officer

Websuper Picnic haalt € 600 miljoen op om internationale groei te versnellen

Cis Marring en Marietje Schaake treden toe tot nieuwe RvC Quantum Delta NL
Geplaatst:
Verstreken tijd: 80 dagen
Proofpoint contact  

Logo Proofpoint

  +44 (0)118 402 5900
  info-bnl@proofpoint.com
  www.proofpoint.com
Proofpoint sociaal  


Proofpoint tweets  

Marcommit is hét full service B2B marketing bureau van Nederland! Wij helpen jouw bedrijf met offline en online marketing campagnes die écht werken. Herken zakelijke websitebezoekers
 Spotlight  
Logo  Fundaments, Expert in Clouds
Logo Login Consultants
Logo Elbo Technology
Logo iSOC24
Logo Vabi
Logo Brixxs
Logo SoftApp BV
Logo MatrixMind
Logo Nice to Meat
Logo Fullstaq B.V.
Logo Stichting ITdonations
Logo Jortt BV
Logo NPRM NV
Logo Stylonic.nl
Logo PlanMen
Logo Facilitor
Logo VPNdiensten.nl
Logo Techone B.V.
Logo Yenlo
Logo E-mergo
Logo Orange Cyberdefense
Logo Boys with Brains
Logo MCS B.V.
Logo Xperit Solutions B.V.
Logo Medius
Logo Spryng
Logo Medius
Logo VPNdiensten.nl
Logo Experis
Logo Vertiv
Logo Visma | Raet
Logo Kaspersky
Logo Kaspersky
Logo Uniserver
Logo reichelt elektronik
Logo Barracuda Networks
Logo Citrix
Logo Eaton
Logo Poly
Logo Deliverect
Logo ManpowerGroup
Logo Lookout
Tarieven
Publicatie eenmalig €49

Publicatiebundels
- 6 publicaties €199
- 12 publicaties €349
- Onbeperkt €499

Eenmalig publiceren
- Persbericht aanleveren

Regelmatig publiceren
- Bedrijfsabonnement
Contact
Persberichten.com
JMInternet
Kuyperstraat 48
7942 BR Meppel
Nederland
info@persberichten.com
KvK 54178096

Volg @ICTberichten
- Twitter

Zoek
- IT bedrijf
- IT PR-bureau
Over ons
Persberichten.com, hét platform voor IT persberichten

In de database
- 92062 persberichten
- 6044 bedrijfsprofielen
- 60 PR-bureauprofielen
- 10754 tags

Publicatiekenmerken
+ Behouden tekstopmaak
+ Foto/illustratie/logo
+ Downloadbare bijlages
+ Profiel met socials
 
www.LVTPR.comHerken zakelijke websitebezoekerswww.marcommit.nlwww.lubbersdejong.nl