Cobalt Strike : l'outil de pentest le plus détourné par les cybercriminels

0

Selon les recherches sur les menaces réalisées par Proofpoint, l’utilisation de Cobalt Strike dans les campagnes malveillantes connait une activité croissante et reste une forte menace en 2021.

Cobalt Strike est à l’origine un outil de pentest officiel utilisé pour simuler des tentatives d’intrusion sur un réseau. Malheureusement, au cours des dernières années, son utilisation s’est vue détournée à des fins malveillantes. Proofpoint a constaté une augmentation de 161 % de l’utilisation de l’outil entre 2019 et 2020. Cela s’aligne sur les observations d’autres entreprises de sécurité, qui affirment que davantage de cybercriminels adoptent des outils de hacking dans leurs opérations. 

Combinés avec le framework MITRE ATT&CK, un outil d’analyse des tactiques et techniques de cybermenaces basées sur des observations réalisées sur le terrain, les outils de recherches Proofpoint peuvent examiner les mécanismes d’accès et les charges déployées par les cybercriminels. Parmi les données analysées, les chercheurs observent un certain nombre d’acteurs de la menace associés à des États.

Enfin, d’après Proofpoint, Cobalt Strike devient de plus en plus populaire en tant que charge utile avec accès initial, et non plus seulement exécuté une fois l’accès obtenu seulement. 

Les outils de sécurité offensifs améliorent la sécurité d’une entreprise, mais il convient d’examiner comment leur utilisation illégitime a proliféré parmi les acteurs APT et les cybercriminels. L’utilisation d’outils accessibles au public s’aligne sur une tendance plus large observée par Proofpoint : les acteurs de la menace utilisent autant d’outils légitimes que possible, notamment en exécutant des processus Windows comme PowerShell et WMI, en injectant du code malveillant et en utilisant fréquemment des services autorisés comme Dropbox, Google Drive, SendGrid et Constant Contact pour héberger et distribuer des logiciels malveillants.

Cette discussion est au cœur des débats depuis des années dans le secteur de la sécurité informatique. Les acteurs de la menace sont désormais parfaitement armés d’outils de sécurité légitimes, et les équipes informatiques luttent contre des attaquants de mieux en mieux préparés.

Nos données montrent que Cobalt est très utilisé et s’est imposé dans le monde des logiciels criminels. Ces acteurs de la menace attirés par l’appât du gain sont désormais armés de manière similaire à ceux financés et soutenus par divers gouvernements.

Share.

About Author

Sherrod DeGrippo est directrice des menaces emergentes chez Proofpoint. Sa mission consiste à diriger une équipe mondiale de chercheurs qui s'engagent à fournir les solutions de renseignement les plus complètes, les plus évolutives et les plus adaptées sur les menaces actuelles. Son équipe d'experts est constamment à l'affût de nouvelles menaces grâce à l'analyse des logiciels malveillants, ce qui permet de mieux comprendre le paysage actuel des cyberattaques et permet d'aider à protéger les réseaux essentiels à la mission contre les menaces connues ou potentiellement malveillantes. Avec plus de 15 ans d'expérience en sécurité de l'information et en environnement de démarrage chez Nexum, Symantec et Secureworks, Sherrod est une conférencière régulière lors d'événements de haut niveau tels que RSA et Black Hat et contribue régulièrement au blog Proofpoint Threat Insight.

Leave A Reply