Cobalt Strike y Prometheus Traffic Direction System: nuevas herramientas para el comercio de ciberamenazas
febrero 3, 2022Se sospecha que existe una conexión entre el sistema de dirección de tráfico (TDS) de Prometheus y una copia descifrada de Cobalt Strike. Ambos se ofrecen como herramientas para orquestar acciones posteriores a la explotación para múltiples actores de amenazas. Los investigadores de BlackBerry han descubierto superposiciones entre una versión ilegítima de Cobalt Strike y […]
Se sospecha que existe una conexión entre el sistema de dirección de tráfico (TDS) de Prometheus y una copia descifrada de Cobalt Strike. Ambos se ofrecen como herramientas para orquestar acciones posteriores a la explotación para múltiples actores de amenazas.
Los investigadores de BlackBerry han descubierto superposiciones entre una versión ilegítima de Cobalt Strike y la actividad relacionada con Prometheus TDS, que puede ser proliferada por los operadores de Prometheus.
Los expertos supusieron que tal vez alguien relacionado con Prometheus TDS está administrando la versión descifrada de Cobalt Strike y ofreciéndola en el momento de la compra. Alternativamente, puede proporcionarse como parte de un libro de jugadas estándar o una instalación de VM.
Prometheus TDS se promociona como un servicio para la redirección de phishing a gran escala a páginas de destino no autorizadas que se crearon para propagar cargas útiles de malware. El precio del servicio de malware es de 250 dólares al mes, según la última oferta en los foros clandestinos rusos.
Las características principales de Prometheus incluyen una red de infraestructura maliciosa, puertas traseras de PHP, distribución de correo electrónico malicioso, alojamiento de archivos ilícitos utilizando servicios genuinos, redirección de tráfico y entrega de archivos maliciosos.
En los últimos dos años, múltiples actores de amenazas y grupos de ransomware como FIN7, FickerStealer, Qakbot, DarkCrystal RAT, IceID, BlackMatter, Ryuk, Cerber y REvil han utilizado la versión descifrada de Cobalt Strike.
Además, se observó el mismo Cobalt Strike Beacon en actividades asociadas con un corredor de acceso inicial Zebra2104. MountLocker, Phobos y StrongPity utilizan los servicios de intermediario.
