Cobalt Strike wird als Malware unter Cyberkriminellen immer beliebter

Im laufenden Jahr beobachtet Proofpoint einen noch nie dagewesenen Einsatz von Cobalt Strike als Schadsoftware. Zwar ist Cobalt Strike in erster Linie ein legitimes Sicherheitstool, das von Penetrationstestern verwendet wird, um die Aktivitäten von Cyberkriminellen in einem Netzwerk zu emulieren. Allerdings wird es zunehmend auch von den kriminellen Angreifern selbst genutzt. Allein zwischen 2019 und 2020 verzeichnete Proofpoint einen Anstieg bei der Nutzung des Tools durch kriminelle Akteure um 161 Prozent.

Bei den Ermittlungen rund um die SolarWinds-Attacken, die im Dezember 2020 ans Tageslicht kamen, stellten die Cyberforensiker fest, dass in diesem Rahmen auch Cobalt Strike Beacon als Schadsoftware zum Einsatz kam. Doch die illegale Nutzung dieses Tools reicht schon viel weiter in die Vergangenheit zurück: Ursprünglich wurde Cobalt Strike 2012 als Reaktion auf Lücken in einem bestehenden Red-Team-Tool entwickelt, dem Metasploit Framework. Daraufhin wurde Cobalt Strike 3.0 als eigenständige Plattform zur Emulation von Angreifern im Jahr 2015 eingeführt. Und schon im darauffolgenden Jahr konnten die Security-Experten von Proofpoint erste cyberkriminelle Gruppen beobachten, die das Tool für ihre Zwecke einsetzten.

Aktuell verwenden verschiedene Gruppen von Bedrohungsakteuren Cobalt Strike, um sich Zugang zu ihren Zielorganisationen zu verschaffen. Proofpoint geht in diesem Zusammenhang auf Basis seiner ihm vorliegenden Daten mit hoher Wahrscheinlichkeit davon aus, dass Cobalt Strike von den Cyberkriminellen als sogenannte Initial Access Payload verwendet wird. Anders als bei einer Payload der zweiten Stufe soll damit also zunächst ein erster Zugang zur Zielorganisation geschaffen werden.

Zu den illegalen Nutzern von Cobalt Strike zählen unter anderem:

  • TA800
    • Dabei handelt es sich um eine große Crimeware-Gruppe, die von Proofpoint seit Mitte 2019 beobachtet wird. Dieser Akteur versucht, Banking-Malware oder Malware-Loader, darunter The Trick und BazaLoader, zu verbreiten und zu installieren.
  • TA547
    • TA547 ist ebenfalls ein Crimeware-Akteur, der seit Oktober 2017 im Fokus der Security-Experten von Proofpoint steht. Die Gruppe verbreitet hauptsächlich Banking-Trojaner – einschließlich The Trick und ZLoader – in verschiedenen Ländern. Seit Mitte 2020 nutzt TA547 dazu bevorzugt gefährliche Microsoft Office-Anhänge. Im Februar 2021 begann die Gruppe mit der Verbreitung von Cobalt Strike als Payload der zweiten Stufe für Command and Control.
  • TA415
    • Bei TA415 handelt es sich um einen ein APT-Akteur (Advanced Persistent Threat), von dem angenommen wird, dass er mit staatlichen Institutionen der Volksrepublik China in Verbindung steht. Laut US-Gerichtsakten existiert eine Verbindung der Gruppe zum chinesischen Ministerium für Staatssicherheit.

Sherrod DeGrippo, Senior Director of Threat Research and Protection bei Proofpoint zur verstärkten Nutzung von Cobalt Strike durch Cyberkriminelle:

„Offensive Sicherheits-Tools sind nicht per se von bösartiger Natur, aber es lohnt sich genauer zu untersuchen, wie sich die illegale Nutzung der Frameworks durch APT-Akteure und Cyberkriminelle entwickelt hat. Die Verwendung öffentlich verfügbarer Tools fügt sich in einen breiteren Trend, den Proofpoint festgestellt hat: Bedrohungsakteure nutzen so viele legitime Tools wie möglich, inklusive der Verwendung von Windows-Prozessen wie PowerShell und WMI, der Injektion von bösartigem Code in legitime Binärdateien und der regelmäßigen Verwendung legitimer Dienste wie Dropbox, Google Drive, SendGrid und Constant Contact, um Malware zu hosten und zu verbreiten.

Die illegale Nutzung legitimer Tools ist Teil einer Debatte, die in der IT-Security-Branche seit Jahren geführt wird. Bedrohungsakteure des gesamten Crimeware- und APT-Spektrums sind dadurch umfassend mit legitimen Sicherheitstools bewaffnet und die Security-Teams müssen in der Folge gegen die am besten ausgestatteten Cyberkriminellen antreten.

Unsere Daten zeigen, dass Cobalt Strike derzeit häufiger von cyberkriminellen Gruppen und Akteuren aus dem Bereich Commodity Malware eingesetzt wird als von APT- und Spionage-Gruppen. Das bedeutet, dass Cobalt Strike in der Welt der Crimeware zum Mainstream geworden ist. Finanziell motivierte Bedrohungsakteure sind nun ähnlich umfassend ausgestattet wie diejenigen, die von verschiedenen Regierungen finanziert und unterstützt werden.“

Über Proofpoint

Proofpoint, Inc. (NASDAQ: PFPT) ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren. Führende Unternehmen aller Größen, darunter mehr als die Hälfte der Fortune-1000-Unternehmen, verlassen sich auf Proofpoints Sicherheits- und Compliance-Lösungen, bei denen der Mensch im Mittelpunkt steht, um ihre wichtigsten Risiken bei der Nutzung von E-Mails, der Cloud, Social Media und dem Internet zu minimieren.

Weitere Informationen finden Sie unter www.proofpoint.com/de.

Firmenkontakt und Herausgeber der Meldung:

Proofpoint
Oskar-von-Miller-Ring 20
80333 München
Telefon: +49 (179) 1279657
http://www.proofpoint.com/de

Ansprechpartner:
Matthias Uhl
iCom GmbH
Telefon: +49 (89) 80090-819
Fax: +49 (89) 80090-810
E-Mail: matthias.uhl@axicom.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel