2012년 버전 1.44부터 최신 버전 4.7까지 인터넷에 유포 중...악용 가능성 커

[보안뉴스 김영명 기자] 구글은 모의해킹 도구 ‘코발트 스트라이크(Cobalt Strike)’가 해킹에 악용되고 있다며, 탐지를 위한 YARA 탐지 툴을 공개했다. 모의해킹 도구 ‘코발트 스트라이크(Cobalt Strike)’의 크랙버전은 2012년에 나온 버전 1.44부터 최신 버전인 4.7까지의 총 34종이 인터넷에 유포되고 있다.


구글이 공개한 각각의 코발트 스트라이크 버전에는 약 10~100개의 공격 템플릿 바이너리가 포함돼 있으며, 총 275개의 고유한 자바 아카이브(Java Archive, JAR) 파일이 있는 34개의 서로 다른 코발트 스트라이크의 릴리스 버전을 찾았다. 코발트 스트라이크의 각 릴리스 버전은 고유한 비콘 구성 요소가 생성돼 있다는 것을 발견했다.

구글 클라우드 위협 인텔리전스(Google Cloud Threat Intelligence, GCTI)은 이 모의해킹 도구가 악용되는 것을 방지하기 위해 오픈소스인 YARA 룰을 공개했다. 한편, 구글은 지금까지 나온 코발트 스트라이크의 다양한 버전의 구성 요소를 정확하게 탐지하기 위해 꾸준히 작업이 진행 중이라고 밝혔다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>