Europol, Morpheus Operasyonu olarak bilinen ortak bir kolluk eylemini koordine etti ve bu da siber suçlular tarafından kurbanların ağlarına sızmak için kullanılan yaklaşık 600 kobalt grev sunucusunun yayından kaldırılmasına yol açtı.
Haziran ayı sonlarında tek bir hafta boyunca, kolluk kuvvetleri ceza faaliyeti ve suç grupları tarafından kullanılan saldırı altyapısının bir parçası olan alan adlarıyla ilişkili bilinen IP adreslerini belirledi.
Operasyonun bir sonraki aşamasında, çevrimiçi servis sağlayıcılara aracın lisanssız sürümlerini devre dışı bırakmak için toplanan bilgiler sağlandı.
Europol, "Kobalt Strike Red Teaming Aracının eski, lisanssız versiyonları, Europol'un 24-28 Haziran tarihleri arasındaki merkezinden koordine edilen bir haftalık eylemde hedeflendi." Dedi.
Diyerek şöyle devam etti: "27 ülkede toplam 690 IP adresi çevrimiçi servis sağlayıcılara işaretlendi. Hafta sonuna kadar bu adreslerin 593'ü devredildi."
Morpheus Operasyonu, Avustralya, Kanada, Almanya, Hollanda, Polonya ve Amerika Birleşik Devletleri'nden kolluk makamlarını içeriyordu ve İngiltere Ulusal Suç Ajansı tarafından yönetildi.
BAE Systial Digital Intelligence, Trellix, Spamhaus, Suistuse.ch ve The Shadowserver Foundation gibi özel endüstri ortakları, bu uluslararası kolluk operasyonu sırasında desteklerini sunarak, kullanılan kobalt grev sunucularını tanımlamak için geliştirilmiş tarama, telemetri ve analitik yetenekleri yoluyla yardım sundu. Siber suçlu kampanyalarda.
Europol tarafından koordine edilen bu yıkıcı eylem, 2021'de üç yıl önce başlayan karmaşık bir soruşturmanın doruk noktasıdır.
Europol, "Tüm soruşturmanın süresi boyunca, yaklaşık 1,2 milyon uzlaşma göstergesi içeren 730'dan fazla tehdit istihbaratı paylaşıldı."
"Buna ek olarak, Europol'un EC3'ü kolluk kuvvetleri ve özel ortaklar arasında 40'tan fazla koordinasyon toplantısı düzenledi. Eylem haftası boyunca Europol, dünya çapında kolluk eylemini koordine etmek için sanal bir komuta kurdu."
Nisan 2023'te Microsoft, Fortra ve Sağlık Bilgi Paylaşımı ve Analiz Merkezi (Sağlık-ISAC), Cybercriminals'in birincil hack araçlarından biri olan Cobalt Strike'ın çatlak kopyalarını barındıran sunucularda geniş bir yasal baskı duyurdu.
Kobalt Strike, on yıl önce Fortra (eski adıyla Yardım Sistemleri) tarafından, kırmızı ekiplerin güvenlik açıkları için ağ altyapısını taramak için meşru bir ticari penetrasyon test aracı olarak yayınlandı. Bununla birlikte, tehdit aktörleri yazılımın çatlak kopyalarını aldı ve bu da onu veri hırsızlığı ve fidye yazılımı saldırılarında en çok kullanılan araçlardan biri haline getirdi.
Saldırganlar, uzlaştırma sonrası saldırı aşaması sırasında, tehlikeye atılan ağlara kalıcı uzaktan erişim sağlayan ve hassas verileri çalmaya veya ek kötü amaçlı yükler bırakmaya yardımcı olan işaretleri dağıtmak için kobalt grevini kullanırlar.
Microsoft, çeşitli devlet destekli tehdit aktörlerinin ve hack gruplarının Rusya, Çin, Vietnam ve İran gibi yabancı hükümetler adına faaliyet gösterirken Cobalt Strike'ın çatlak versiyonlarını kullandığını söylüyor.
Kasım 2022'de, Google Cloud Tehdit İstihbarat Ekibi, savunucuların ağlarındaki kobalt grev bileşenlerini tespit etmesine yardımcı olmak için uzlaşma göstergelerinin (IOCS) ve 165 Yara kurallarının bir koleksiyonunu açık kaynaklı.
Europol, ev yönlendirmesinin mobil şifreleme özelliğinin suçlulara yardımcı olduğunu söylüyor
Polis 100'den fazla kötü amaçlı yazılım sunucusu ele geçirdi, dört siber suçlu tutukladı
Europol, web portalı ihlalini onaylıyor, operasyonel verilerin çalınmadığını söylüyor
Kaynak: Bleeping Computer