Kobalt
Bedreigingsscorekaart
EnigmaSoft Threat-scorekaart
EnigmaSoft Threat Scorecards zijn beoordelingsrapporten voor verschillende malwarebedreigingen die zijn verzameld en geanalyseerd door ons onderzoeksteam. EnigmaSoft Threat Scorecards evalueren en rangschikken bedreigingen met behulp van verschillende statistieken, waaronder reële en potentiële risicofactoren, trends, frequentie, prevalentie en persistentie. EnigmaSoft Threat Scorecards worden regelmatig bijgewerkt op basis van onze onderzoeksgegevens en statistieken en zijn nuttig voor een breed scala aan computergebruikers, van eindgebruikers die oplossingen zoeken om malware van hun systemen te verwijderen tot beveiligingsexperts die bedreigingen analyseren.
EnigmaSoft Threat Scorecards geven een verscheidenheid aan nuttige informatie weer, waaronder:
Rangschikking: de rangorde van een bepaalde bedreiging in de bedreigingsdatabase van EnigmaSoft.
Ernstniveau: het vastgestelde ernstniveau van een object, numeriek weergegeven, op basis van ons risicomodelleringsproces en onderzoek, zoals uitgelegd in onze dreigingsbeoordelingscriteria .
Geïnfecteerde computers: het aantal bevestigde en vermoedelijke gevallen van een bepaalde dreiging die is gedetecteerd op geïnfecteerde computers, zoals gerapporteerd door SpyHunter.
Zie ook Criteria voor dreigingsevaluatie .
| Rangschikking: | 4,110 |
| Dreigingsniveau: | 20 % (Normaal) |
| Geïnfecteerde computers: | 2,252 |
| Eerst gezien: | May 5, 2022 |
| Laatst gezien: | September 20, 2023 |
| Beïnvloede besturingssystemen: | Windows |
Cobalt is een malware-infectie die zich verspreidt door gebruik te maken van een kwetsbaarheid in Microsoft Windows die al 17 jaar bestaat in dit besturingssysteem. Hoewel de kwetsbaarheid die wordt gebruikt door Cobalt, CVE-2017-11882, al 17 jaar bestaat, werd deze pas in november 2017 openbaar gemaakt en gepatcht door Microsoft. Met behulp van deze kwetsbaarheid konden de cybercriminelen bedreigingen afleveren met behulp van de Cobalt Strike, een tool die wordt gebruikt om kwetsbaarheden te testen.
Inhoudsopgave
Een kobaltgeheim dat vele jaren bewaard is gebleven
Cobalt wordt bezorgd via een spam-e-mailbericht dat eruitziet als een melding van Visa (de creditcardmaatschappij), die zogenaamd regelwijzigingen aankondigt in zijn PayWave-service in Rusland. Slachtoffers ontvangen een RTF-document met de naam 'Изменения в системе безопасности.doc Visa payWave.doc', evenals een archiefbestand met dezelfde naam. Het verzenden van bedreigingen in de vorm van archiefbestanden als bijlage bij e-mailberichten is een veelgebruikte methode om ze af te leveren. Het gebruik van met een wachtwoord beveiligde archieven voor deze aanvallen is een veilige manier om te voorkomen dat auto-analysesystemen het bestand analyseren, aangezien ze het bestand in een veilige omgeving uitpakken om bedreigingen te detecteren. Er is echter iets van een social engineering-aspect door zowel het beschadigde DOC-bestand als het archief in hetzelfde bericht op te nemen.
Wanneer het schadelijke document dat wordt gebruikt om Cobalt af te leveren, wordt geopend, wordt er een PowerShell-script op de achtergrond uitgevoerd. Dit script downloadt en installeert Cobalt op de computer van het slachtoffer, waardoor de cybercriminelen de geïnfecteerde computer kunnen overnemen. Tijdens de Cobalt-aanval worden verschillende scripts gedownload en uitgevoerd om Cobalt uiteindelijk te downloaden en te installeren op de computer van het slachtoffer. Wanneer de exploit CVE-2017-11882 wordt geactiveerd op de geïnfecteerde computer, wordt een versluierd JavaScript-bestand gedownload en vervolgens uitgevoerd op de geïnfecteerde computer. Hiermee wordt een ander PowerShell-script gedownload, dat Cobalt vervolgens rechtstreeks in het geheugen van de geïnfecteerde computer laadt. Hoewel PowerShell-scripts een krachtige manier kunnen zijn om het gebruik van een computer gemakkelijker en efficiënter te maken, heeft de manier waarop het interageert met de interne werking van een computer en hun kracht deze scripts tot een van de voorkeurstools gemaakt die worden gebruikt bij bedreigingsaanvallen. Aangezien Cobalt rechtstreeks in het geheugen wordt geladen en er geen beschadigd DLL-bestand naar de harde schijven van het slachtoffer wordt geschreven, maakt dit het voor antivirusprogramma's moeilijker om te detecteren dat de Cobalt-aanval wordt uitgevoerd.
Hoe de kobaltaanval u en uw machine kan beïnvloeden
Zodra Cobalt op de computer van het slachtoffer is geïnstalleerd, kan Cobalt worden gebruikt om de geïnfecteerde computer te besturen en om deze dreiging op andere computersystemen op hetzelfde netwerk te installeren. Hoewel officieel Cobalt Strike vermoedelijk een hulpmiddel is voor penetratietesten, wordt het in dit geval gebruikt om bedreigingsaanvallen uit te voeren. De cybercriminelen zijn altijd op zoek naar nieuwe manieren om bedreigingen af te leveren. Hoewel nieuwe kwetsbaarheden behoorlijk bedreigend zijn, vormen zeer oude kwetsbaarheden zoals deze, die oorspronkelijk misschien niet goed zijn aangepakt, ook een bedreiging voor computergebruikers. Onthoud dat veel computergebruikers hun software en besturingssysteem niet regelmatig patchen, wat betekent dat veel pc's kwetsbaar zijn voor vele exploits die vrij oud zijn en in sommige gevallen over het hoofd worden gezien door veel antivirusprogramma's.
Uw computer beschermen tegen een bedreiging zoals kobalt
Zoals bij de meeste bedreigingen, is het gebruik van een betrouwbaar beveiligingsprogramma de beste bescherming tegen Cobalt en soortgelijke bedreigingen. Omdat bij deze aanvallen echter sprake is van een oude software-exploit, adviseren pc-beveiligingsonderzoekers computergebruikers ervoor te zorgen dat hun software en besturingssysteem volledig zijn bijgewerkt met de meest recente beveiligingspatches. Dit kan computergebruikers net zo goed helpen om bedreigingen en andere problemen te voorkomen als het gebruik van beveiligingssoftware.
URL's
Kobalt kan de volgende URL's aanroepen:
| betaengine.org |
