Киберпреступники массово используют легитимный инструмент тестирования безопасности Cobalt Strike для скрытых атак

Cobalt Strike представляет собой платформу для тестирования на проникновение и моделирования действий злоумышленников, которая широко применяется как этичными хакерами в рамках легальных проверок безопасности, так и киберпреступниками для проведения реальных атак. Богатый функционал, возможность кастомизации инфраструктуры и мощные возможности пост-эксплуатации делают этот инструмент особенно привлекательным для создателей вредоносного программного обеспечения.

Технический анализ выявил конкретные механизмы работы Cobalt Strike в составе вредоносной кампании. Исследуемый образец с хеш-суммами MD5: 076f518e35024cb62211e317081464b0, SHA-1: 9bddcd07059c1aad8ad0bc85877e996cac87b7fb и SHA256: 79eb0b7d16a706047cb43ce294e6d8deaea0868e879fbdbab32d9aba8ccb69b4 представляет собой исполняемый файл Windows размером 316.50 KB, который демонстрирует сложные методы скрытности и устойчивости.

Особый интерес представляет механизм межпроцессного взаимодействия через именованные каналы (named pipes). Анализ показал использование канала с именем \\.\pipe\MSSE-7904-server, который является известным индикатором компрометации, связанным с инструментом Cobalt Strike. Процесс создания и использования канала включает последовательный вызов API-функций Windows: CreateNamedPipeA для создания канала, ConnectNamedPipe для ожидания подключения клиента, WriteFile для записи данных и CloseHandle для закрытия дескриптора.

Ключевым аспектом атаки является техника загрузки полезной нагрузки непосредственно в память, минуя запись на диск. Анализ показал использование функции VirtualAlloc, которая внутренне вызывает системный вызов NtAllocateVirtualMemory для выделения виртуальной памяти. После выделения памяти выполняется цикл дешифрования, в результате которого в памяти формируется PE-образ, представляющий собой DLL-библиотеку. Исследование выявило наличие экспортируемой функции _ReflectiveLoader@4, характерной для Cobalt Strike, которая позволяет загружать beacon.dll непосредственно в память с использованием техники рефлективной DLL-инжекции.

Механизм сбора информации о системе демонстрирует сложный подход к разведке. Вредоносная программа собирает данные о имени пользователя, имени компьютера, имени модуля процесса и версии операционной системы, формируя структурированную строку для последующей передачи злоумышленникам. Рефлективный загрузчик анализирует таблицу экспорта ядра хост-процесса для вычисления адресов трех необходимых функций: LoadLibraryA, GetProcAddress и VirtualAlloc, что позволяет выполнять полезную нагрузку без использования таблицы импорта.

Коммуникационный механизм использует библиотеку Wininet для установления HTTPS-соединений с сервером управления. Анализ показал использование API-функций InternetOpenA, InternetConnectA и InternetSetOptionA для настройки параметров сессии. Обнаружено подключение к домену 146.56.251.111 с использованием пользовательского агента Mozilla/5.0, имитирующего обычный веб-браузер, что позволяет вредоносной программе маскироваться под легитимный веб-трафик.

Особую опасность представляет функционал имперсонализации пользователей, который включает вызовы LogonUserA и ImpersonateLoggedOnUser. Этот механизм позволяет злоумышленникам эскалировать привилегии и перемещаться laterally внутри корпоративной сети, используя украденные учетные данные.

Двойственная природа Cobalt Strike представляет серьезную проблему для специалистов по безопасности. С одной стороны, это легитимный инструмент для тестирования защищенности, с другой - мощное оружие в руках киберпреступников. Распространенность его использования группами APT (Advanced Persistent Threat - продвинутая постоянная угроза) и другими злоумышленниками требует повышенной бдительности, своевременного обнаружения и постоянного обновления систем защиты конечных точек. Организациям необходимо внедрять комплексные решения для мониторинга и реагирования на инциденты, способные обнаруживать аномальную активность, характерную для подобных инструментов, независимо от их изначального предназначения.

URLs

• http://146.56.251.111/api/websessionindex/open/Lists.jsp

MD5

• 076f518e35024cb62211e317081464b0

SHA1

• 9bddcd07059c1aad8ad0bc85877e996cac87b7fb

SHA256

• 06c92ba05b2be5d7585941ef02f07f8335413f161af58dfa213a5c5a5fce25b6
• 79eb0b7d16a706047cb43ce294e6d8deaea0868e879fbdbab32d9aba8ccb69b4