在網路攻擊當中,駭客濫用滲透測試工具Cobalt Strike的情況不時傳出,這款原本資安人員用於找出企業網路環境弱點的利器,已成為網路罪犯偏好用來控制受害電腦的作案工具,如今執法單位聯手,大量拿下疑似遭到濫用的Cobalt Strike系統。

7月3日歐洲刑警組織(Europol)宣布,由英國國家犯罪局(NCA)主導的跨國執法行動Operation Morpheus,在6月24日至28日於27個國家當中,找到約690臺舊版、未擁有合法授權的Cobalt Strike伺服器,截至上週末,共有593臺的IP位址遭到撤除。歐洲刑警組織表示,本次的破壞行動,是此項執法行動當中的重大突破。

這項跨國執法行動由英國、澳洲、加拿大、德國、荷蘭、波蘭、美國的執法單位共同參與,並透過歐洲刑警組織居中協調。

除了執法單位,也有多家資安業者及組織參與,這些包括:BAE Systems Digital Intelligence、Trellix、Spamhaus、abuse.ch,以及Shadowserver基金會,他們透過部署強化的掃描、遙測、分析機制,從而協助執法單位識別惡意活動,以及網路罪犯濫用Cobalt Strike的情形。

歐洲刑警組織旗下的網路犯罪中心(EC3)表示,他們提供各國執法單位運用的惡意軟體資訊共享平臺,在整個調查過程當中,共享超過730則威脅情報、120萬個入侵指標(IoC)。他們也在執法機構與前述資安機構之間,舉行超過40次的協調會議,並在上述執法活動期間,設置虛擬指揮中心來進行調度。

主導執法行動Operation Morpheus的英國國家犯罪局表示,他們與合作的執法單位聯手,藉由關閉伺服器來達到目的,並經由執法單位或是資安業者,放大相關的濫用通知,通知網路服務供應商可能代管了惡意軟體。

歐洲刑警組織、英國國家犯罪局表示,維護Cobalt Strike的資安業者Fortra在整個調查過程與執法單位合作,持續找出被用於不法的盜版滲透測試工具。

熱門新聞

Advertisement