Злоумышленники манипулируют новейшими функциями Cobalt Strike для фишинга

Исследователи из Hunt выявили, что хакеры начали активно использовать Cobalt Strike 4.10 — инструмент для тестирования на проникновение, который был обновлен в июле 2024 года. Несмотря на усилия разработчиков по предотвращению злоупотреблений, преступники нашли способы использовать новые функции программы в своих целях.

Отличительной чертой злоумышленников стало использование уникального водяного знака, который обнаружен всего на семи IP-адресах в интернете. Это открытие подтверждает, что серверы, размещенные преимущественно на американской инфраструктуре Amazon и использующие порт 80, могут быть частью организованной фишинговой операции. При этом все они настроены по одному и тому же образцу, используя идентичные SSH-ключи и сертификаты.

В новой версии Cobalt Strike реализованы функции, такие как BeaconGate для скрытия следов вредоносной активности и Sleepmask-VS, маскирующая малварь во время простоя системы, что делает ее практически невидимой для стандартных антивирусов. Postex Kit расширяет возможности программы после ее успешного проникновения в целевую систему. Хотя эти инструменты предназначены для легального использования в области кибербезопасности, они становятся мощным оружием в руках киберпреступников.

Серьезной находкой стало обнаружение фальшивых доменов, таких как downloads.toptechmanagementgroup[.]com и downloads.helpsdeskmicrosoft[.]com, которые злоумышленники используют для маскировки вредоносного трафика и нападения на специфические отрасли. Это указывает на высокий уровень организации и специализацию атак.

Дополнительные исследования выявили еще одну группу серверов с водяным знаком «1», что часто связывают с нелицензионными версиями Cobalt Strike, что подчеркивает необходимость внимания к необычным идентификаторам при анализе киберугроз.