Cobalt Strike : l’outil de pentest le plus détourné par les cybercriminels

0

Selon les recherches sur les menaces réalisées par Proofpoint, l’utilisation de Cobalt Strike dans les campagnes malveillantes connait une activité croissante et reste une forte menace en 2021.

Cobalt Strike est à l’origine un outil de pentest officiel utilisé pour simuler des tentatives d’intrusion sur un réseau. Malheureusement, au cours des dernières années, son utilisation s’est vue détournée à des fins malveillantes. Proofpoint a constaté une augmentation de 161 % de l’utilisation de l’outil entre 2019 et 2020. Cela s’aligne sur les observations d’autres entreprises de sécurité, qui affirment que davantage de cybercriminels adoptent des outils de hacking dans leurs opérations.

Combinés avec le framework MITRE ATT&CK, un outil d’analyse des tactiques et techniques de cybermenaces basées sur des observations réalisées sur le terrain, les outils de recherches Proofpoint peuvent examiner les mécanismes d’accès et les charges déployées par les cybercriminels. Parmi les données analysées, les chercheurs observent un certain nombre d’acteurs de la menace associés à des États.

Enfin, d’après Proofpoint, Cobalt Strike devient de plus en plus populaire en tant que charge utile avec accès initial, et non plus seulement exécuté une fois l’accès obtenu seulement.

Sherrod De Grippo, Directrice Menaces Émergentes au sein de Proofpoint commente :

« Les outils de sécurité offensifs améliorent la sécurité d’une entreprise, mais il convient d’examiner comment leur utilisation illégitime a proliféré parmi les acteurs APT et les cybercriminels. L’utilisation d’outils accessibles au public s’aligne sur une tendance plus large observée par Proofpoint : les acteurs de la menace utilisent autant d’outils légitimes que possible, notamment en exécutant des processus Windows comme PowerShell et WMI, en injectant du code malveillant et en utilisant fréquemment des services autorisés comme Dropbox, Google Drive, SendGrid et Constant Contact pour héberger et distribuer des logiciels malveillants.

Cette discussion est au cœur des débats depuis des années dans le secteur de la sécurité informatique. Les acteurs de la menace sont désormais parfaitement armés d’outils de sécurité légitimes, et les équipes informatiques luttent contre des attaquants de mieux en mieux préparés.

Nos données montrent que Cobalt est très utilisé et s’est imposé dans le monde des logiciels criminels. Ces acteurs de la menace attirés par l’appât du gain sont désormais armés de manière similaire à ceux financés et soutenus par divers gouvernements. »

Vous trouverez dans le blog Proofpoint plus d’information sur les campagnes menées via Cobalt Strike.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.