ยูโรโพลยึดเซิร์ฟเวอร์ Cobalt Strike 593 เครื่องที่ใช้โดยอาชญากรไซเบอร์

ยูโรโพลประสานงานกับหน่วยงานบังคับใช้กฎหมายในปฏิบัติการที่เรียกว่า Operation Morpheus ซึ่งนำไปสู่การยึดเซิร์ฟเวอร์ Cobalt Strike เกือบ 600 เครื่องที่ใช้โดยอาชญากรไซเบอร์ในการโจมตีเครือข่ายของเหยื่อ

ในช่วงสัปดาห์เดียวในปลายเดือนมิถุนายน เจ้าหน้าที่บังคับใช้กฎหมายสามารถระบุ IP addresses ที่เกี่ยวข้องกับการกระทำความผิด และโดเมนที่เป็นส่วนหนึ่งของโครงสร้างพื้นฐานการโจมตีที่ใช้โดยกลุ่มอาชญากร

ในขั้นตอนถัดไปของปฏิบัติการ ผู้ให้บริการจะได้รับข้อมูลที่รวบรวมมาเพื่อปิดใช้งานระบบของเครื่องมือดังกล่าว

ยูโรโพลระบุว่า "เครื่องมือ Cobalt Strike red teaming ที่ไม่ได้รับอนุญาต เป็นเป้าหมายในช่วงสัปดาห์ของการปฏิบัติการ ที่ได้รับการประสานงานจากสำนักงานใหญ่ของยูโรโพลระหว่างวันที่ 24 ถึง 28 มิถุนายน"

"IP addresses ทั้งหมด 690 แห่ง ถูกแจ้งให้กับผู้ให้บริการใน 27 ประเทศทราบ จากในจำนวนนั้นกว่า 593 แห่งถูกยึดภายในช่วงสุดสัปดาห์"

Operation Morpheus เกี่ยวข้องกับหน่วยงานบังคับใช้กฎหมายจากออสเตรเลีย, แคนาดา, เยอรมนี, เนเธอร์แลนด์, โปแลนด์ และสหรัฐอเมริกา นำโดยหน่วยงานอาชญากรรมแห่งชาติของสหราชอาณาจักร

พันธมิตรในอุตสาหกรรมเอกชนเช่น BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch และ The Shadowserver Foundation ได้ให้การสนับสนุนระหว่างปฏิบัติการบังคับใช้กฎหมายระหว่างประเทศนี้ โดยให้ความช่วยเหลือผ่านการสแกน และความสามารถในการวิเคราะห์เพื่อระบุเซิร์ฟเวอร์ Cobalt Strike ที่ใช้ในการก่ออาชญากรรมไซเบอร์

การปฏิบัติการนี้โดยยูโรโพลเป็นความสำเร็จมาจากการสืบสวนอย่างจริงจัง ซึ่งเริ่มขึ้นเมื่อสามปีที่แล้วในปี 2021

ยูโรโพลเสริมว่า "ในช่วงเวลาของการตรวจสอบทั้งหมด มีการแบ่งปันข่าวกรองภัยคุกคามกว่า 730 ชิ้นที่มี indicators of compromise (IOC) เกือบ 1.2 ล้านรายการ"

"นอกจากนี้ EC3 ของยูโรโพลได้จัดการประชุมประสานงานกว่า 40 ครั้งระหว่างหน่วยงานบังคับใช้กฎหมาย และพันธมิตรภาคเอกชน ในช่วงสัปดาห์ของการปฏิบัติการ ยูโรโพลได้ตั้งสถานีบัญชาการเสมือน เพื่อประสานการปฏิบัติการบังคับใช้กฎหมายทั่วโลก"

การโจมตีด้วยแรนซัมแวร์ และการจารกรรมทางไซเบอร์

ในเดือนเมษายน 2023 Microsoft, Fortra และศูนย์แบ่งปัน และวิเคราะห์ข้อมูลด้านสุขภาพ (Health-ISAC) ยังประกาศการปราบปรามทางกฎหมายต่อเซิร์ฟเวอร์ที่โฮสต์ Cobalt Strike ซึ่งเป็นหนึ่งในเครื่องมือหลักของอาชญากรไซเบอร์

Cobalt Strike ถูกสร้างโดย Fortra (เดิมชื่อ Help Systems) เมื่อกว่าทศวรรษที่แล้วในฐานะเครื่องมือทดสอบการเจาะระบบที่ถูกต้องตามกฎหมายสำหรับ red teams เพื่อตรวจสอบโครงสร้างพื้นฐานเครือข่าย เพื่อหาช่องโหว่ด้านความปลอดภัย จากนั้นมีการพบ Cobalt Strike เวอร์ชันที่ถูกแคร็กถูกปล่อยออกมาในกลุ่มแฮ็กเกอร์ ทำให้มันถูกนำมาใช้เป็นหนึ่งในเครื่องมือที่ใช้กันอย่างแพร่หลายในการขโมยข้อมูล และการโจมตีด้วยแรนซัมแวร์

ผู้โจมตีใช้ Cobalt Strike ในการโจมตีเบื้องต้น เพื่อติดตั้ง beacon ที่ทำให้สามารถเข้าถึงได้จากระยะไกลไปยังเครือข่ายที่ถูก compromised และช่วยขโมยข้อมูลที่สำคัญ หรือใช้งาน payload ที่เป็นอันตรายเพิ่มเติม

Microsoft ระบุว่า กลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลต่าง ๆ และกลุ่มแฮ็กเกอร์ที่ปฏิบัติการในนามของรัฐบาลต่างชาติ เช่น รัสเซีย, จีน, เวียดนาม และอิหร่าน ก็กำลังใช้ Cobalt Strike เวอร์ชันที่ถูกแคร็กดังกล่าว

ในเดือนพฤศจิกายน 2022 ทีม Google Cloud Threat Intelligence ยังได้เปิดเผย indicators of compromise (IOCs) และ YARA Rules 165 รายการ เพื่อช่วยป้องกัน และตรวจจับพฤติกรรมของ Cobalt Strike ในเครือข่าย

ที่มา:bleepingcomputer.com