Una vulnerabilità in uno strumento utilizzato dai cyber-criminali sta ora aiutando i ricercatori esporre la località di migliaia di malware di comando e controllo (C&C) server.
La vulnerabilità –ora patchato dall’inizio dell’anno– interessati Cobalto Sciopero, un legittimo strumento di test di penetrazione utilizzato dai ricercatori di sicurezza di emulare i cyber-attacchi.
Cobalto Sciopero è stato intorno per più di un decennio, ma negli ultimi cinque anni, si è lentamente stato adottato dai cyber-criminali di gruppi.
Malware bande e stato-nazione cyber-spionaggio gruppi hanno utilizzato Cobalto Sciopero a causa della sua semplice e molto efficiente architettura client-server.
Cyber-criminali Cobalto Sciopero per ospitare i loro C&C server, e quindi la distribuzione di malware su reti aziendali attraverso Cobalto “beacon” si pianta su host infetti.
Negli ultimi anni, Cobalto Sciopero diventato il go-to toolkit per molti minaccia attori, quali FIN6 e FIN7 (Carbanak) il cyber-criminali, ma anche dello stato-nazione hacker come APT29 (Accogliente Orso).
Ma all’insaputa di tutti questi gruppi di hacker è stato che la Fox-i ricercatori hanno scoperto un bug nel Cobalto Sciopero componente server. Costruito su NanoHTTPD, basato su Java web server, truffatori non sapevo che conteneva un bug che permetteva di Fox-per tenere traccia di loro a partire dal 2015.
Secondo Fox-ricercatori, il NanoHTTPD server accidentalmente aggiunto un ulteriore spazio nel server HTTP di risposte, come nell’immagine qui sotto.
Immagine: Fox-IT
Questo spazi consentiti Fox-rilevare Cobalto Sciopero di comunicazione tra i fari e i loro C&C server negli anni, fino al 2 gennaio 2019, quando Cobalto Sciopero sviluppatori patchato il bug e rimosso lo spazio extra nella versione 3.13.
“In totale Fox-ha osservato 7718 unico Cobalto Strike team server o NanoHTTPD ospita tra il periodo di 2015-01 e 2019-02,” ha detto la società in un post del blog di questa settimana.
Perché il problema è ora patchato, Fox-i ricercatori hanno rivelato questo piccolo trucco, con un elenco di storici indirizzi IP utilizzati o sono ancora di hosting Cobalto Sciopero C&C server.
La società spera che il team di sicurezza, utilizzare questo elenco per controllare la loro rete di registri per questi indirizzi IP e identificare passato o attuali violazioni della sicurezza.
Alcuni di questi indirizzi IP potrebbe appartengono ai legittimi Cobalto Sciopero istanze ospitati da aziende di sicurezza per scopi di test, ma Fox-SI ritiene che molti di questi sono anche da gruppi di hacker.
Hanno detto che un esame sommario della loro lista di 7,700+ indirizzi IP rivelato malware C&C server legata alla Cina APT10 governo hacking unità, il Bokbot trojan bancario, e i server gestiti da resti del Cobalto Gruppo (noto anche come FIN7 o Carbanak).
KnownSec 404, un Team Cinese di cyber-security, società che gestisce il ZoomEye IoT motore di ricerca ha confermato Fox-scoperta, individuando 3,643 Cobalto Sciopero NanoHTTPD basato su server che sono ancora operativi, in questo momento, l ‘ 86 per cento dei quali sono stati anche su Fox-s list, ha detto la società.
Fox-SI dice che l’attuale scansioni per gli spazi si stanno rivolgendo sempre di meno i risultati, come i server sono sempre patchato.
Tuttavia, la società dice che la maggior parte delle minacce attori tendono a utilizzare pirata, incrinato, e non le versioni di Cobalto Sciopero software, e quindi rimangono privi di patch per un lungo tempo a venire.
Legittimamente di proprietà server verrà visualizzato il Cobalto Sciopero patch, la maggior parte dei server che uscirà durante le scansioni in un prossimo futuro sarà più probabile essere parte di malware operazioni.
Immagine: Fox-IT
Malware e cyber-delitti con finalità di copertura:
Operatore di otto DDoS-per il servizio di noleggio supplica guiltyCoinhive cryptojacking servizio per arrestare nel Marzo 2019Russian nazionale, autore di NeverQuest trojan bancario, supplica guiltyCredit i dettagli della carta di pena di circa $3,5 milioni di mettere in vendita su hacking forumMalware che caccia le credenziali dell’account su siti web per adulti, triplicato 2018POS azienda dice hacker piantato malware su una rete di clienti
Il Malware può ora eludere la sicurezza del cloud strumenti TechRepublicCryptomining malware scoperto che si presenta come aggiornamenti di Flash CNET
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati