Mendeteksi Serangan Cobalt: Serangan Kejahatan Dunia Maya

  • Whatsapp
Mendeteksi Serangan Cobalt: Serangan Kejahatan Dunia Maya

 

Salah satu penelitian terbaru mengungkapkan bahwa penjahat dunia maya yang menggunakan malware sering menggunakan alat Cobalt Strike untuk melepaskan beberapa muatan setelah memeriksa jaringan yang disusupi. Cobalt Strike adalah perangkat lunak pengujian penetrasi berbayar yang menyediakan akses ke penyerang cyber untuk mengeksekusi agen bernama ‘Beacon’ ke dalam sistem kepribadian yang ditargetkan.
Cobalt Strike mengirimkan beacon untuk mendeteksi kerentanan jaringan yang kemudian mengirimkan malware untuk membuat profil command-and-control (C2) palsu yang tampak asli. Beacon menyediakan begitu banyak fungsi untuk penyerang termasuk, keylogging, proxy SOCKS, transfer file, eskalasi hak istimewa, pemindaian port, mimikatz, dan gerakan lateral.
Cobalt Strike hadir dengan toolkit untuk mengembangkan pemuat shellcode, bernama Artifact Kit. Kit alat Cobalt Strike digunakan oleh kedua belah pihak termasuk komunitas keamanan serta penjahat dunia maya.
Tim peneliti Secureworks Counter Threat Unit (CTU) melakukan investigasi terhadap penggunaan Cobalt Strike untuk mendapatkan informasi seperti kapan dan bagaimana alat tersebut digunakan oleh para pelaku ancaman. Informasi yang diperoleh akan bekerja demi organisasi untuk mengamankan sistem mereka dari pelaku ancaman.
Memiliki pemahaman yang komprehensif tentang tujuan akhir aktor ancaman sangat penting saat mencoba mengamankan sistem. Misalnya, kelompok penjahat dunia maya GOLD LAGOON yang termotivasi secara finansial menggunakan botnet Qakbot untuk menjatuhkan Cobalt Strike ke dalam mesin korban. Tim peneliti CTU mengetahui bahwa GOLD LAGOON menjalankan Cobalt Strike ke host yang terinfeksi Qakbot yang sering diidentifikasi sebagai anggota domain Active Directory. Kelompok yang telah aktif sejak 2007 ini juga memfasilitasi kelompok penjahat dunia maya lainnya yang menjatuhkan berbagai keluarga ransomware di jaringan yang disusupi.
Deteksi dini interwork yang dikompromikan membantu komunitas keamanan siber untuk memulihkan atau memperbaiki sistem korban sesegera mungkin seperti yang disoroti oleh dua insiden serupa.
Pada peristiwa pertama, penanggap insiden Secureworks membantu korban pulih dari serangan ransomware REvil. Dalam insiden kedua, tindakan pencegahan Secureworks Taegis™ XDR mendeteksi dan memperingatkan aktivitas Qakbot dan Cobalt Strike yang berbahaya ke dalam sistem yang memungkinkan pelindung jaringan untuk mengurangi intrusi sebelum ransomware disebarkan. Namun, kehadiran versi Cobalt Strike ilegal di web gelap memberi peluang bagi pelaku ancaman untuk menyalahgunakannya.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *