渗透测试工具Cobalt Strike在网络攻击中常会被黑客利用,但最近2到3年有变得较为频繁的情况。在2020年12月爆发的SolarWinds供应链攻击事件中,黑客就利用这款工具,进行第二阶段的攻击行动。而在近期的事故里,也时常传出攻击者在过程里滥用Cobalt Strike。
但这样的情况究竟多为严重?近期安全公司Proofpoint提出调查结果──在2020年,攻击者运用该渗透测试工具的情况,较2019年增加了161%,因此,该公司认为这种频繁运用Cobalt Strike于攻击行动的现象,在2021年仍然会延续。
针对上述的推论,该公司也提出另外一个层面的看法:以往会利用Cobalt Strike的攻击者,主要是APT组织与国家级黑客,而目前该工具被运用于网络犯罪的层面更广,不少恶意软件的操作者也会在攻击过程运用。
而对于最近几年Cobalt Strike被用于攻击的情况,Proofpoint提出了数据图来加以说明:在2016年到2017年,都只有少量的受害组织被发现攻击者使用了这款工具;而到了2018年,开始有显著增加的情形,当年攻击者约在1千多家受害组织植入Cobalt Strike。
这样的情况接着持续急剧恶化。2019年,约有5千家受害组织出现了Cobalt Strike,到了2020年则约有超过9千家。而在2021年,不到半年就有超过8千家组织成为该工具的受害者。再者,Proofpoint也提到,自2019年至今,滥用Cobalt Strike的攻击仅有15%与已知的黑客组织有关,但在此之前,约有三分之二的攻击,是资源充足的APT组织或黑客组织,才会使用相关的工具。