1. Главная
  2. Новости
  3. Злоумышленники манипулируют новейшими функциями Cobalt Strike для фишинга

Злоумышленники манипулируют новейшими функциями Cobalt Strike для фишинга

Злоумышленники манипулируют новейшими функциями Cobalt Strike для фишинга

Исследователи из Hunt выявили, что хакеры начали активно использовать Cobalt Strike 4.10 — инструмент для тестирования на проникновение, который был обновлен в июле 2024 года. Несмотря на усилия разработчиков по предотвращению злоупотреблений, преступники нашли способы использовать новые функции программы в своих целях.

Отличительной чертой злоумышленников стало использование уникального водяного знака, который обнаружен всего на семи IP-адресах в интернете. Это открытие подтверждает, что серверы, размещенные преимущественно на американской инфраструктуре Amazon и использующие порт 80, могут быть частью организованной фишинговой операции. При этом все они настроены по одному и тому же образцу, используя идентичные SSH-ключи и сертификаты.

В новой версии Cobalt Strike реализованы функции, такие как BeaconGate для скрытия следов вредоносной активности и Sleepmask-VS, маскирующая малварь во время простоя системы, что делает ее практически невидимой для стандартных антивирусов. Postex Kit расширяет возможности программы после ее успешного проникновения в целевую систему. Хотя эти инструменты предназначены для легального использования в области кибербезопасности, они становятся мощным оружием в руках киберпреступников.

Серьезной находкой стало обнаружение фальшивых доменов, таких как downloads.toptechmanagementgroup[.]com и downloads.helpsdeskmicrosoft[.]com, которые злоумышленники используют для маскировки вредоносного трафика и нападения на специфические отрасли. Это указывает на высокий уровень организации и специализацию атак.

Дополнительные исследования выявили еще одну группу серверов с водяным знаком «1», что часто связывают с нелицензионными версиями Cobalt Strike, что подчеркивает необходимость внимания к необычным идентификаторам при анализе киберугроз.

erid: 2SDnjebLjT5

РЕКОМЕНДУЕМ

похожие материалы

Стрелочка
Стрелочка
SOC Forum 2025. Максим Бузинов, руководитель R&D-лаборатории Центра технологий кибербезопасности ГК «Солар»: Детектирование аномалий в ИБ-решениях
SOC Forum 2025. Максим Бузинов, руководитель R&D-лаборатории Центра технологий кибербезопасности ГК «Солар»: Детектирование аномалий в ИБ-решениях

На полях SOC Forum 2025 Cyber Media поговорили о новых подходах к детектированию аномалий с Максимом Бузиновым, руководителем R&D-лаборатории Центра технологий кибербезопасности ГК «Солар».

подробнее Стрелочка
Защита от утечки учетных записей: интеграция RED Security MFA и Termidesk делает удаленную работу безопаснее
Защита от утечки учетных записей: интеграция RED Security MFA и Termidesk делает удаленную работу безопаснее

Компании RED Security, вендор открытой экосистемы ИБ-решений и эксперт в области комплексной защиты бизнеса, и «Увеон — облачные технологии» (входит в «Группу Астра») успешно завершили тестирование технологической совместимости сервиса многофакторной аутентификации RED Security MFA с мультиплатформенным VDI-решением Termidesk.

подробнее Стрелочка
Приложите карту: количество атак с использованием NFC выросло в 1,5 раза
Приложите карту: количество атак с использованием NFC выросло в 1,5 раза

В третьем квартале 2025 года эксперты «Лаборатории Касперского» зафиксировали рост количества атак на Android-устройства в России, в которых злоумышленники использовали вредоносные утилиты для работы с NFC, чтобы красть деньги людей.

подробнее Стрелочка
RED Security предупреждает о новой многоуровневой фишинговой атаке
RED Security предупреждает о новой многоуровневой фишинговой атаке

Компания RED Security, открытая экосистема ИБ-решений и экспертизы для комплексной защиты бизнеса, зафиксировала распространение новой многоступенчатой фишинговой атаки, нацеленной на владельцев мобильных устройств.

подробнее Стрелочка