Europol coördineerde een gezamenlijke wetshandhavingsactie, bekend als Operatie Morpheus, die leidde tot de ontmanteling van bijna 600 Cobalt Strike-servers die door cybercriminelen werden gebruikt om netwerken van slachtoffers te infiltreren.

Gedurende een enkele week eind juni identificeerden wetshandhavingsdiensten bekende IP-adressen die geassocieerd worden met criminele activiteiten en domeinnamen die deel uitmaakten van de aanvalsinfrastructuur die door criminele groepen werd gebruikt.

In de volgende fase van de operatie werd aan online serviceproviders de verzamelde informatie verstrekt om ongeautoriseerde versies van de tool uit te schakelen.

“Oudere, ongeautoriseerde versies van de Cobalt Strike red teaming tool werden gedurende een actieweek van 24 tot 28 juni vanuit het hoofdkantoor van Europol aangepakt,” aldus Europol.

“In totaal werden 690 IP-adressen gemeld bij online serviceproviders in 27 landen. Tegen het einde van de week waren 593 van deze adressen uitgeschakeld.”

Operatie Morpheus betrof wetshandhavingsautoriteiten uit Australië, Canada, Duitsland, Nederland, Polen en de Verenigde Staten en werd geleid door de Britse Nationale Misdaaddienst (National Crime Agency).

Private industriële partners zoals BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch, en The Shadowserver Foundation boden ook hun steun tijdens deze internationale wetshandhavingsactie, waarbij ze hulp boden via hun verbeterde scan-, telemetrie- en analysecapaciteiten om Cobalt Strike-servers te identificeren die in cybercriminele campagnes werden gebruikt.

Deze verstorende actie, gecoördineerd door Europol, is de culminatie van een complexe drie jaar durende onderzoek dat in 2021 begon.

“Gedurende het hele onderzoek werden meer dan 730 dreigingsinformatie-elementen gedeeld met bijna 1,2 miljoen indicatoren van compromittering,” voegde Europol toe.

“Daarnaast organiseerde Europols EC3 meer dan 40 coördinatievergaderingen tussen wetshandhavingsdiensten en private partners. Tijdens de actieweek richtte Europol een virtueel commandocentrum op om de wetshandhavingsacties over de hele wereld te coördineren.”

Gebruikt in ransomware-aanvallen en cyberespionagecampagnes

In april 2023 kondigden Microsoft, Fortra en het Health Information Sharing and Analysis Center (Health-ISAC) ook een breed juridisch optreden aan tegen servers die gehackte kopieën van Cobalt Strike hosten, een van de belangrijkste hacktools van cybercriminelen.

Cobalt Strike werd meer dan tien jaar geleden door Fortra (voorheen Help Systems) uitgebracht als een legitieme commerciële penetratietesttool voor red teams om netwerkinfrastructuur te scannen op beveiligingslekken. Echter, dreigingsactoren hebben gehackte kopieën van de software verkregen, waardoor het een van de meest gebruikte tools is geworden bij datadiefstal en ransomware-aanvallen.

Aanvallers gebruiken Cobalt Strike tijdens de post-exploitatie-aanvalsfase om beacons te implementeren die voor blijvende externe toegang tot gecompromitteerde netwerken zorgen en helpen bij het stelen van gevoelige gegevens of het plaatsen van extra schadelijke payloads.

Microsoft zegt dat verschillende door de staat gesteunde dreigingsactoren en hackgroepen gehackte versies van Cobalt Strike gebruiken terwijl ze opereren namens buitenlandse regeringen, zoals Rusland, China, Vietnam en Iran.

In november 2022 heeft het Google Cloud Threat Intelligence-team ook een verzameling indicatoren van compromittering (IOCs) en 165 YARA-regels open-source gemaakt om verdedigers te helpen Cobalt Strike-componenten in hun netwerken te detecteren.