Hackeři vytvářejí Cobalt Strike Beacon pro Linux
Odborníci z Intezer Lab objevil Vermilion Strike, variace Cobalt Strike Beacon přizpůsobená Linuxu, kterou hackeři již používají při útocích proti organizacím po celém světě.
Cobalt Strike je legitimní komerční nástroj vytvořený pro pentestery a červené týmy, zaměřené na exploataci a post-exploataci. bohužel, hackeři jej již dlouho milovali, od vládních skupin APT po provozovatele ransomwaru.
Ačkoli to není k dispozici běžným uživatelům a plná verze stojí přibližně $ 3,500 za instalaci, útočníci stále nacházejí způsoby, jak jej použít (například, spoléhat se na staré, pirátské, jailbroken a neregistrované verze). Tak, podle Intel 471, Proofpoint a Zaznamenaná budoucnost, Cobalt Strike byl v posledních letech hacknut a pirátem více než jednou. Vědci také vypočítali, že v 2020, Cobalt Strike a Metasploit byli přítomni na 25% řídicích serverů různých hackerských skupin.
Typicky, zločinci používají Cobalt Strike k vykořisťování, po nasazení takzvaných „majáků“, které poskytují trvalý vzdálený přístup k ohroženým zařízením. Pomocí majáků, hackeři mohou získat přístup ke kompromitovaným systémům za účelem shromažďování dat nebo nasazení dalšího malwaru.
nicméně, z pohledu zločinců, Cobalt Strike měl vždy jednu vadu. Jde o to, že podporuje pouze Windows, ne Linux. Ale, soudě podle Intezer Lab zpráva, toto se nyní změnilo.
Poprvé, vědci si všimli nové implementace majáku v srpnu tohoto roku a dali tomuto jevu jméno Vermilion Strike. Společnost zdůrazňuje, že Cobalt Strike ELF binární zatím nebyl detekován antivirovými řešeními.
V podstatě, Vermilion Strike používá stejný konfigurační formát jako Windows Beacon, může komunikovat se všemi servery Cobalt Strike, nicméně nepoužívá kód Cobalt Strike. Horší, odborníci se domnívají, že stejný vývojář přepsal původní maják Windows, aby se lépe vyhnul detekci.
Po nasazení na kompromitovaný systém, Vermilion Strike je schopen provádět následující úkoly:
- změnit pracovní adresář;
- získejte aktuální pracovní adresář;
- připojit / zapisovat do souboru;
- nahrajte soubor na příkazový a řídicí server;
- spusťte příkaz přes popen;
- získat diskové oddíly;
- získejte seznam souborů.
Pomocí telemetrie poskytnuté McAfee Enterprise ATR, vědci přišli na to, že Vermilion Strike se používá k útokům od srpna 2021. Zločinci se zaměřují na širokou škálu společností a organizací, od telekomunikací a vládních agentur po IT společnosti, finanční instituce a poradenské firmy po celém světě.
Připomínám, že jsme o tom také hovořili BIOPAS malware používá k nahrávání obrazovek obětí streamovací software OBS Studio.