Cobalt Strike C&Cs efterligner Microsoft domæner
Det er normal praksis at it-kriminelle forsøger at vildlede igennem domæner der lænder sig op ad kendte brands. Et af de mest misbrugte, i forbindelse med Cobalt Strike, som et kommercielt Red Teaming rammeværk, er Microsoft og Microsoft produkter som f.eks. Office, Outlook og Azure.
Et eksempel på et sådan domæne er (saniteret):
mlcr0s0ft[.]
one
Det er ikke mange AV- og sikkerhedsleverandører. som pt kender til, at dette domæne anvendes som Cobalt Strike C&C. Det afslører et opslag på Virustotal. Faktisk kun 12 ud af samlet 88 producenter flagger domænet som skadeligt:
Dette domæne er en Cobalt Strike C&C, som via følgende URLs, tilbyder forskellige ledsager komponenter:
https://mlcr0s0ft[.]one:2096/api/2
https://mlcr0s0ft[.]
one:2096/api/3
https://mlcr0s0ft[.]
one:2096/api/4
Det omfatter historisk bl.a. følgende SHA256 hashes:
9f0250f690993f15d006f23540bf89f029ddd11f9a1eb2b9939ade777750cb42
ca4d3e6fa029d2c89f22d09db1977493a1421a5f4b226a7ea221cef83525b413
85deae4a40c13ef1a1cf9491cb1214ae9804a317c9bc862281815ca1a55b328b
a76e2528c8f137a894a670c34b820f4ee245584825568c7fff6708a57455d7d9
8ae10ec3a196ec6077ac22459ebbd4e58239507f8fdd8b802fc0cbab052e5b8e
508d29fcb9917fceec839041bb484e976808b02a0bcd156ff669ea17d80b656e
Domænet er ikke overraskende hostet hos Cloudflare:
AAAA 2606:4700:3031::ac43:9b68
2606:4700:3035::6815:5908
A 45.32.253.112
NS
cass.ns.cloudflare.com
huxley.ns.cloudflare.com
Massevis af Cobalt Strike som misbruger Microsofts brand
Det er langt fra det eneste Cobalt Strike domæne som foregiver at være Microsoft relateret. Herunder et par friske eksempler på yderligere Cobalt Strike C&Cs, som man med fordel kan blokere i sin firewall/gateway (saniteret):
js.msedgeupdate[.]com
log.speech-microsoft[.]
com
logs.speech-microsoft[.]
com
mlcr0s0ft[.]
one
microsoftser[.]top
rano.outlookonlines[.]
com
support.azrue-mircosoft[.]
com
microsoftkernel[.]com
update.microsoftapply[.]
com
officaesmicrasftonline[.]com
update.microsofthk[.]
com
microsoft-hk[.]com
microsoftapply[.]com
update.microsoftkernel[.]
com
v10.officaesmicrasftonline[.]
com
www.micorsoft[.]
live
www.microsoft-update[.]
club
www.micrcscft-store[.]com
[..]
Cracket udgave af Cobalt Strike er de it-kriminelles foretrukne våben
Cobalt Strike findes i mange versioner og er populært blandt ransomware bander til at foretage lateral bevægelse. De IT-kriminelle anvender crackede versioner af Cobalt Strike i deres digitale arsenal, og kommunikation til Cobalt Stike relaterede domæner eller IP adresser, skal altid ses som en alvorlig hændelse.
Microsoft har i flere omgange forsøgt at begrænse den illegale brug af cracket Cobalt Strike software. Se bl.a.:
https://cyberscoop.com/microsoft-cobalt-strike-hacking-tool/