Outil commercial de test d'intrusion développé par l'entreprise de cybersécurité Fortra, Cobalt Strike peut être détourné de son utilisation légitime par des cybercriminels et exploité pour des campagnes d'attaques.
Sur le Dark Web, d'anciennes versions piratées et sans licence de Cobalt Strike circulent et permettent de fomenter des cyberattaques. Elles ont par exemple pour but d'obtenir un accès sur des machines et de déployer des ransomwares.
Malgré les mesures prises par Fortra pour éviter les abus, le nom de Cobalt Strike a ainsi été régulièrement associé à diverses cyberattaques et des groupes APT.
Europol annonce que dans le cadre d'une opération baptisée Morpheus, quelque 690 adresses IP en rapport avec des instances illégales de Cobalt Strike ont été signalées à 129 fournisseurs de services en ligne dans 27 pays. À la fin de la semaine dernière, 593 d'entre elles ont été désactivées.
En partenariat avec le secteur privé
L'action dite perturbatrice a été permise grâce au concours d'acteurs comme BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch et The Shadowserver Foundation. Ils ont joué un rôle dans l'identification d'activités malveillantes et ont alimenté une plateforme Malware Information Sharing Platform pour les forces de l'ordre.
L'opération coordonnée par Europol est l'aboutissement d'une enquête initiée en 2021. Au cours de celle-ci, " plus de 730 éléments de renseignements sur les menaces ont été partagés. " Il est fait mention de près de 1,2 million d'indicateurs de compromission.
N.B. : Source image (vignette) : Europol.