Hackeři vytvářejí Cobalt Strike Beacon pro Linux

Helga Smithzáří 14, 2021Naposledy aktualizováno: září 18, 2021
344 2 přečtené minuty

Odborníci z Intezer Lab objevil Vermilion Strike, variace Cobalt Strike Beacon přizpůsobená Linuxu, kterou hackeři již používají při útocích proti organizacím po celém světě.

Cobalt Strike je legitimní komerční nástroj vytvořený pro pentestery a červené týmy, zaměřené na exploataci a post-exploataci. bohužel, hackeři jej již dlouho milovali, od vládních skupin APT po provozovatele ransomwaru.

Ačkoli to není k dispozici běžným uživatelům a plná verze stojí přibližně $ 3,500 za instalaci, útočníci stále nacházejí způsoby, jak jej použít (například, spoléhat se na staré, pirátské, jailbroken a neregistrované verze). Tak, podle Intel 471, Proofpoint a Zaznamenaná budoucnost, Cobalt Strike byl v posledních letech hacknut a pirátem více než jednou. Vědci také vypočítali, že v 2020, Cobalt Strike a Metasploit byli přítomni na 25% řídicích serverů různých hackerských skupin.

Typicky, zločinci používají Cobalt Strike k vykořisťování, po nasazení takzvaných „majáků“, které poskytují trvalý vzdálený přístup k ohroženým zařízením. Pomocí majáků, hackeři mohou získat přístup ke kompromitovaným systémům za účelem shromažďování dat nebo nasazení dalšího malwaru.

nicméně, z pohledu zločinců, Cobalt Strike měl vždy jednu vadu. Jde o to, že podporuje pouze Windows, ne Linux. Ale, soudě podle Intezer Lab zpráva, toto se nyní změnilo.

Poprvé, vědci si všimli nové implementace majáku v srpnu tohoto roku a dali tomuto jevu jméno Vermilion Strike. Společnost zdůrazňuje, že Cobalt Strike ELF binární zatím nebyl detekován antivirovými řešeními.

Binární Cobalt Strike ELF ještě nebyl detekován

V podstatě, Vermilion Strike používá stejný konfigurační formát jako Windows Beacon, může komunikovat se všemi servery Cobalt Strike, nicméně nepoužívá kód Cobalt Strike. Horší, odborníci se domnívají, že stejný vývojář přepsal původní maják Windows, aby se lépe vyhnul detekci.
Po nasazení na kompromitovaný systém, Vermilion Strike je schopen provádět následující úkoly:

  1. změnit pracovní adresář;
  2. získejte aktuální pracovní adresář;
  3. připojit / zapisovat do souboru;
  4. nahrajte soubor na příkazový a řídicí server;
  5. spusťte příkaz přes popen;
  6. získat diskové oddíly;
  7. získejte seznam souborů.

Pomocí telemetrie poskytnuté McAfee Enterprise ATR, vědci přišli na to, že Vermilion Strike se používá k útokům od srpna 2021. Zločinci se zaměřují na širokou škálu společností a organizací, od telekomunikací a vládních agentur po IT společnosti, finanční instituce a poradenské firmy po celém světě.

Propracovanost těchto útočníků, jejich záměr zapojit se do špionáže, a skutečnost, že tento kód nebyl dříve použit při jiných útocích a byl zaměřen na konkrétní organizace, nás vede k domněnce, že tuto hrozbu vytvořil zkušený útočník.Řekli analytici Intezer Lab.

Připomínám, že jsme o tom také hovořili BIOPAS malware používá k nahrávání obrazovek obětí streamovací software OBS Studio.

Značky
Helga Smithzáří 14, 2021Naposledy aktualizováno: září 18, 2021
344 2 přečtené minuty

Helga Smith

Vždy mě zajímaly počítačové vědy, zejména zabezpečení dat a téma, kterému se dnes říká "datová věda", od mých raných dospívajících. Před příchodem do týmu pro odstranění virů jako šéfredaktor, Pracoval jsem jako odborník na kybernetickou bezpečnost v několika společnostech, včetně jednoho z dodavatelů Amazonu. Další zkušenost: Mám výuku na univerzitách Arden a Reading.

zanechte odpověď

Tato stránka používá Akismet snížit spam. Přečtěte si, jak se váš komentář údaje zpracovávány.

Tlačítko Zpět nahoru