在网络攻击当中,黑客滥用渗透测试工具Cobalt Strike的情况不时传出,这款原本资安人员用于找出企业网络环境弱点的利器,已成为网络罪犯偏好用来控制受害电脑的作案工具,如今执法单位联手,大量拿下疑似遭到滥用的Cobalt Strike系统。
7月3日欧洲刑警组织(Europol)宣布,由英国国家犯罪局(NCA)主导的跨国执法行动Operation Morpheus,在6月24日至28日于27个国家当中,找到约690台旧版、未拥有合法授权的Cobalt Strike服务器,截至上周末,共有593台的IP位址遭到撤除。欧洲刑警组织表示,本次的破坏行动,是此项执法行动当中的重大突破。
这项跨国执法行动由英国、澳洲、加拿大、德国、荷兰、波兰、美国的执法单位共同参与,并通过欧洲刑警组织居中协调。
除了执法单位,也有多家资安业者及组织参与,这些包括:BAE Systems Digital Intelligence、Trellix、Spamhaus、abuse.ch,以及Shadowserver基金会,他们通过部署强化的扫描、遥测、分析机制,从而协助执法单位识别恶意活动,以及网络罪犯滥用Cobalt Strike的情形。
欧洲刑警组织旗下的网络犯罪中心(EC3)表示,他们提供各国执法单位运用的恶意软件信息共享平台,在整个调查过程当中,共享超过730则威胁情报、120万个入侵指针(IoC)。他们也在执法机构与前述资安机构之间,举行超过40次的协调会议,并在上述执法活动期间,设置虚拟指挥中心来进行调度。
主导执法行动Operation Morpheus的英国国家犯罪局表示,他们与合作的执法单位联手,借由关闭服务器来达到目的,并经由执法单位或是资安业者,放大相关的滥用通知,通知网络服务供应商可能代管了恶意软件。
欧洲刑警组织、英国国家犯罪局表示,维护Cobalt Strike的资安业者Fortra在整个调查过程与执法单位合作,持续找出被用于不法的盗版渗透测试工具。



2024-07-04
