Originalmente desenvolvido para testes de intrusão, o Cobalt Strike tem sido cada vez mais explorado por grupos cibercriminosos - especialmente aqueles associados a ameaças persistentes avançadas (APTs) - em campanhas de ciberespionagem contra órgãos governamentais ao redor do mundo. Daniel Barbosa, pesquisador de segurança da ESET Brasil, chama atenção para esse desvio de propósito da ferramenta: "o Cobalt Strike é voltado à segurança ofensiva, assim como diversas outras soluções legítimas disponíveis no mercado. No entanto, sua estrutura robusta acaba atraindo cibercriminosos, que subvertem seu uso e a empregam em ataques direcionados a empresas e instituições."

Desenvolvido para simular ataques reais, em atividades de pentesting, e auxiliar especialistas em segurança na identificação de vulnerabilidades, a ferramenta passou a ser explorada por cibercriminosos com objetivos muito diferentes. Um exemplo recente é a Operação FishMedley, investigada pela ESET neste ano, na qual o grupo FishMonger utilizou o Cobalt Strike para conduzir atividades de espionagem.

Outro caso emblemático ocorreu em 2022, quando os operadores do ransomware Conti lançaram ataques contra instituições governamentais da Costa Rica, utilizando essa mesma ferramenta. Em 2019, o grupo Lazarus empregou o Cobalt Strike em ataques a bancos e instituições financeiras, visando infiltrar redes, implantar backdoors e exfiltrar dados confidenciais de clientes e transações.

Além disso, em 2018, o grupo APT29 também utilizou o Cobalt Strike para infiltrar redes do setor energético norte-americano, executando cargas maliciosas e roubando informações sensíveis, como credenciais de login e dados financeiros. O mesmo ocorreu em 2022 com o grupo de APT Mustang Panda, que realizou ataques contra provedores de serviços de Internet e missões diplomáticas europeias.

Como o Cobalt Strike é utilizado

Para atacar os sistemas de empresas ou instituições públicas, o Cobalt Strike pode aproveitar alguma vulnerabilidade de segurança já conhecida ou até mesmo usar engenharia social através de campanhas direcionadas de phishing, tática em que a vítima é induzida a baixar um arquivo malicioso por um anexo no e-mail ou um link falso.

Com acesso à máquina atacada, o programa instala o "beacon", um payload que é instalado no sistema da vítima. Esse arquivo malicioso, que também funciona como um backdoor, se comunica com o atacante e realiza comandos enviados por ele.

Essa comunicação pode ocorrer via HTTP, HTTPS, DNS ou até SMB. Isso pode permitir aos cibercriminosos se mover lateralmente pela rede, escalar privilégios, coletar documentos e informações confidenciais, capturar telas, gravar teclado e abrir shells em sistemas de empresas ou instituições, como vimos recentemente em ataques a órgãos governamentais.

Saiba como se proteger

Os ataques realizados por cibercriminosos que utilizam o Cobalt Strike normalmente realizam ataques direcionados à empresas e instituições. Confira algumas dicas que podem mitigar esse tipo de atuação criminosa:

  • Use um software antivírus potente. Adquira uma proteção contra ransomware ou uma ferramenta de remoção de malware e vírus para ajudar a identificar e remover malware e ajudar a evitar que novas ameaças infectem seu dispositivo.
  • Mantenha seu dispositivo atualizado. Sempre atualize seus drivers e softwares para ajudar a corrigir vulnerabilidades conhecidas.
  • Use uma verificação adicional. Adicione uma segunda camada de proteção para suas senhas com a autenticação de dois fatores para dificultar a invasão de hackers em suas contas.
  • Confie no seu instinto. Quando algo parece estranho em um e-mail, como um endereço de e-mail esquisito, ortografia ou formatação diferentes ou um pedido para clicar em um link ou baixar um arquivo zip, confie no seu instinto, porque pode ser uma tentativa de phishing.