Hackere opretter Cobalt Strike Beacon til Linux

Helga Smithseptember 14, 2021Sidst opdateret: september 18, 2021
344 2 minutter læst

Eksperter fra Intezer Lab opdagede Vermilion Strike, en Linux-tilpasset variant af Cobalt Strike Beacon, som hackere allerede bruger i angreb mod organisationer rundt om i verden.

Koboltstrejke er et legitimt kommercielt værktøj skabt til pentestre og røde hold, fokuseret på udnyttelse og efterudnyttelse. uheldigvis, det har længe været elsket af hackere, fra offentlige APT -grupper til ransomware -operatører.

Selvom den ikke er tilgængelig for almindelige brugere, og den fulde version er prissat til ca. $ 3,500 pr. installation, angriberne finder stadig måder at bruge det på (for eksempel, stole på gammelt, piratkopieret, jailbroken og uregistrerede versioner). Så, ifølge Intel 471, Proofpoint og Optaget fremtid, Cobalt Strike er blevet hacket og piratkopieret mere end én gang i de seneste år. Forskerne beregnede også, at i 2020, Cobalt Strike og Metasploit var til stede d 25% af kontrolserverne i forskellige hack -grupper.

typisk, kriminelle bruger Cobalt Strike til efterudnyttelse, efter at have implementeret såkaldte "beacons", der giver vedvarende fjernadgang til kompromitterede enheder. Brug af beacons, hackere kan få adgang til kompromitterede systemer til at indsamle data eller implementere yderligere malware.

Imidlertid, fra kriminelles synspunkt, Cobalt Strike har altid haft en fejl. Pointen er, at den kun understøtter Windows, ikke Linux. Men, at dømme efter Intezer Lab rapport, dette er nu ændret.

For første gang, forskere lagde mærke til en ny implementering af fyrtårnet i august i år og gav dette fænomen navnet Vermilion Strike. Virksomheden understreger, at Cobalt Strike ELF binær er endnu ikke blevet opdaget af antivirusløsninger.

Cobalt Strike ELF binær er endnu ikke fundet

I bund og grund, Vermilion Strike bruger det samme konfigurationsformat som Windows Beacon, det kan kommunikere med alle Cobalt Strike -servere, men den bruger ikke Cobalt Strike -kode. Værre, eksperter mener, at den samme udvikler omskrev det originale Windows -fyrtårn for bedre at undgå opdagelse.
Når den blev implementeret på et kompromitteret system, Vermilion Strike er i stand til at udføre følgende opgaver:

  1. ændre arbejdsmappen;
  2. få den aktuelle arbejdskatalog;
  3. vedhæfte / skrive til fil;
  4. uploade filen til kommando- og kontrolserveren;
  5. udfør kommandoen via popen;
  6. få diskpartitioner;
  7. få en liste over filer.

Brug af telemetri leveret af McAfee Enterprise ATR, forskerne fandt ud af, at Vermilion Strike har været brugt til angreb siden august 2021. Kriminelle retter sig mod en lang række virksomheder og organisationer, fra telekommunikation og offentlige myndigheder til it -virksomheder, finansielle institutioner og konsulentfirmaer rundt om i verden.

Sofistikationen af ​​disse angribere, deres hensigt om at engagere sig i spionage, og det faktum, at denne kode ikke tidligere er blevet brugt i andre angreb og var målrettet mod bestemte organisationer, får os til at antage, at denne trussel blev skabt af en erfaren angriber.Intezer Lab analytikere sagde.

Lad mig minde dig om, at vi også talte om, at BIOPASS malware bruger OBS Studio streaming software til at optage offerskærme.

Mærker
Helga Smithseptember 14, 2021Sidst opdateret: september 18, 2021
344 2 minutter læst

Helga Smith

Jeg var altid interesseret i datalogi, især datasikkerhed og temaet, som kaldes i dag "datavidenskab", siden mine tidlige teenagere. Før du kommer ind i Virus Removal-teamet som chefredaktør, Jeg arbejdede som cybersikkerhedsekspert i flere virksomheder, inklusive en af ​​Amazons entreprenører. En anden oplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Efterlad et Svar

Dette websted bruger Akismet at reducere spam. Lær hvordan din kommentar data behandles.

Tilbage til toppen knap