Cobalt Strike服务器遭受DDoS攻击：黑客行动再现

重点摘要

• 前Conti勒索软件团伙操控的Cobalt Strike服务器近日遭到未知团伙的DDoS攻击，伴有反俄言论。
• 安全研究人员提醒使用Cobalt Strike的组织加强对基础设施的保护，确保不被轻易攻击。
• 当前乌克兰冲突促使黑客行动继续频繁，越来越多的黑客组织借此事件招募新成员并扩大影响力。


日前有报道称，由前Conti勒索软件团伙成员运营的CobaltStrike服务器遭受到未知团体的DDoS攻击。攻击中夹杂了反俄的言辞。这一消息引发了安全研究人员的警报，建议所有使用CobaltStrike进行红队操作的组织强化对其服务器的保护。

安全研究人员表示，实施此次攻击的团体至少针对了四个被指控由前Conti团伙成员控制的CobaltStrike服务器。尽管Conti团伙已于五月停止运营，但其成员依然加入其他团体，并利用同样的Cobalt Strike基础设施发起其他勒索软件攻击。

“使用Cobalt Strike基础设施进行红队操作的组织，必须确保对其基础设施进行合理保护，”Deep Instinct公司的竞争情报分析师Jerrod Piker表示。他补充说：“DDoS保护至关重要，近期的Conti团伙攻击以及高级恶意软件防护、身份保护和访问控制都证明了这一点。攻击者总会寻找低悬的果实，我们必须确保使他们发现的过程尽可能困难。”

Netenrich公司的首席威胁猎手John Bambenek指出，尽管我们无法确切知道此次事件的根源，但根据乌克兰冲突情况，这可能纯粹是Conti的问题。

“每当与重大地缘政治事件相关联时，DDoS及其他攻击便会愈加频繁，”Bambenek表示。“DDoS是最简单的攻击方式之一。需要指出的是，任何合法运行Cobalt Strike的组织都不应允许其安装在公开互联网可见。”

Digital Shadows高级网络威胁情报分析师NicoleHoffman提到，近期的活动反映出自俄罗斯入侵乌克兰以来，黑客行动持续活跃并频繁。她表示，乌克兰冲突促使黑客行动的复兴，这种趋势可能持续到年底。

“许多团体，比如Killnet和Anonymous，利用社交媒体来放大他们的消息并招募新成员，”Hoffman称。“黑客活动的增加应该促使组织建立防御机制，以对抗或防止DDoS攻击。”

Deep Instinct的Piker指出，自从俄罗斯与乌克兰战争开始以来，网络战在现代战场中扮演的角色日益显著。虽然尚不清楚针对前Conti CobaltStrike服务器的DDoS攻击是否与俄乌冲突有关，但这绝对是有可能的。

网络安全的未来

那么，近期对网络战争的关注对网络安全意味着什么呢？

Piker表示，这表明信息技术资源已成为任何组织最重要的资产，无论是公共部门还是私营部门，合法业务还是非法活动。

“国家正在招募顶尖黑客人才，开发复杂的APT工具包，并在黑市上进行交易，这些工具最终可能落入普通网络犯罪分子之手，”Piker说道。“当前针对主要国家政府和大型网络犯罪组织的高级网络间谍活动，将成为明天针对全球私人商业的‘WannaCry’活动。网络安全社区必须迎接这一挑战，继续从现代APT活动中学习，完善工具集，以防止今天和明天出现的重大全球攻击。”

关于Conti的其他消息，谷歌的威胁分析组今日报告称，随着乌克兰战争的持续，针对乌克兰的财务动机威胁行为者的数量增多，他们的活动似乎与俄罗斯政府支持的攻击者密切相关。

谷歌TAG的