国家级APT组织、网络黑客“雇佣兵”和个人网络罪犯持续利用Cobalt Strike制造新威胁
BlackBerry (纽约证券交易所代码:BB;多伦多证券交易所代码:BB)近日在BlackBerry安全峰会上发布了最新著作《在黑暗中寻找信标——网络威胁情报指南》,旨在解读目前网络攻击者最常用工具之一Cobalt Strike的信标演变及泛滥状况。
在详细介绍预防恶意Cobalt Strike有效载荷方法的同时,该书也概述了为何一款强大的网络威胁情报(CTI)生命周期管理工具,及具备扩展检测与响应(XDR)的解决方案能够提供阻断此类威胁所需的环境。
Cobalt Strike最初只是一款开发用以模拟对手的工具,现已演变为被国家级APT组织、网络黑客等群体最常选择的攻击手段之一。该书重点强调了各种组织和机构目前面临的诸多网络安全威胁,其在此背景下该如何搭建网络防御框架,并揭示了以往认定的毫无关联的网络攻击之间的联系。
由于具有可塑性和可访问性的特点,Cobalt Strike被作为红队常用的工具,现已被网络犯罪分子严重滥用。Cobalt Strike功能丰富,支持多种攻击方法,因此也一直是众多国家级APT组织的首选。对于过去一年半内勒索软件泛滥的现象,Cobalt Strike无疑是起到了推波助澜的作用。
相较于自行开发内部技术,通过地下论坛购买现成的恶意软件和相关工具显然成本更低,而且还会给执法机构造成归因困难,因此Cobalt Strike是企业和网络犯罪分子的理想选择。当网络黑客组织是受雇于国家行为体时,这种归因困难的挑战会更加复杂。
“对网络犯罪分子来说,Cobalt Strike近乎是完美的软件,但同时也凸显了网络安全行业面临的进退两难的核心困境,即精心开发的工具既可以提升网络安全,也会被用以助长网络犯罪。”BlackBerry研究与情报事业部副总裁埃里克·米拉姆(Eric Milam)表示,“Cobalt Strike功能丰富,开发人员还为其提供了完善支持与积极维护。但Cobalt Strike的有效载荷也为网络攻击者提供了许多可乘之机,进而成为了APT组织和网络犯罪新手青睐的选择。”
除了Cobalt Strike被大量应用于地下犯罪活动的原因值得深思,高水平的APT组织对这一工具的持续使用同样值得关注。2021年10月,APT41就使用Cobalt Strike给目标印度公民发送了钓鱼邮件;Dridex操控者也在最近进行的网络钓鱼和恶意垃圾邮件活动中大量利用了Cobalt Strike。
BlackBerry产品工程执行副总裁Billy Ho强调,“这本新书旨在通过分享我们的知识来提升网络安全防护,同时介绍BlackBerry为打造一套Cobalt Strike自动探测系统所采取的步骤,更为重要的是展示如何从生成的数据集中挖掘有意义的威胁情报。从而,通过这些信息发现线索、了解趋势、获得威胁组织和攻击活动的情报。”
《在黑暗中寻找信标——网络威胁情报指南》将于2021年11月正式上架,欢迎通过点击此链接预订。
关于BlackBerry
BlackBerry(纽约证券交易所代码:BB;多伦多证券交易所代码:BB)致力于为全球企业和政府提供智能安全软件和服务。公司目前为超过5亿终端提供安全防护,其中包括超过1.95亿辆汽车。BlackBerry总部位于加拿大安大略省滑铁卢市,专注于利用人工智能和机器学习技术,在网络安全、功能安全和数据隐私领域提供创新的解决方案。BlackBerry在终端安全、终端管理、加密和嵌入式系统领域处于全球领先地位。BlackBerry拥有清晰明确的愿景:为值得信赖的互联未来保驾护航。
BlackBerry智能安全,无处不在。
欲了解更多信息,请访问BlackBerry.com/cn/zh或关注微信公众号“BlackBerry企业级软件与服务”。