Angeblich Quellcode des Exploit-Toolkits Cobalt Strike durchgesickert

Der Quellcode für das Toolkit Cobalt Strike wurde offenbar in einem Repository auf GitHub veröffentlicht, wie Bleeping Computer berichtet. Eigentlich ist Cobalt Strike eine Sammlung legitimer Werkzeuge für sogenannte Penetrationstests. Geknackte Versionen sind allerdings auch bei Cyberkriminellen beliebt, da sich damit beispielsweise eine Shell anlegen oder eine nicht autorisierte Ausweitung von Benutzerrechten erreichen lässt. Unter anderem kommt Cobalt Strike im Rahmen von Ransomware-Angriffen zum Einsatz.

Dem Bericht zufolge wurde vor weniger als zwei Wochen auf GitHub ein Repository mit dem Namen CobaltStrike angelegt. Es soll den Quellcode für Cobalt Strike 4.0 enthalten. Die Version selbst soll am 5. Dezember 2019 veröffentlicht worden sein.

Der veröffentlichte Quellcode zeigt dem Bericht zufolge auch, dass die integrierte Lizenzprüfung ausgehebelt wurde. Der Sicherheitsexperte Vitali Kremez von Advanced Intel geht davon aus, dass der Java-Code manuell dekompiliert wurde. Es seien dann alle Abhängigkeiten bereinigt und die Lizenzprüfung entfernt worden, wodurch nun jeder den Code kompilieren könne.

„Die mögliche Offenlegung des neu kompilierten Quellcodes der 2019er-Version von Cobalt Strike 4.0 hat erhebliche Konsequenzen, da sie die Zugangsbarrieren zur Beschaffung des beseitigt beseitigt und es den kriminellen Gruppen im Wesentlichen erleichtert, sich den Code bei Bedarf spontan zu beschaffen und zu ändern“, kommentierte Kremez. “ Veröffentlichung des Offensivwerkzeugs öffnet die Tür für die zusätzliche Verbesserung der Werkzeuge von Kriminellen, wie es bei vielen anderen Malware-Werkzeuglecks geschehen ist, wie beispielsweise bei Zeus 2.0.8.9. und TinyNuke, die ständig wiederverwendet und von den Kriminellen aktualisiert werden und nach dem Leak ein Eigenleben entwickelt haben.“

Die Echtheit des Quellcodes wurde allerdings noch nicht bestätigt. Eine Stellungnahme des Herausgebers Help Systems steht laut Bleeping Computer noch aus.