Hackere opretter Cobalt Strike Beacon til Linux
Eksperter fra Intezer Lab opdagede Vermilion Strike, en Linux-tilpasset variant af Cobalt Strike Beacon, som hackere allerede bruger i angreb mod organisationer rundt om i verden.
Koboltstrejke er et legitimt kommercielt værktøj skabt til pentestre og røde hold, fokuseret på udnyttelse og efterudnyttelse. uheldigvis, det har længe været elsket af hackere, fra offentlige APT -grupper til ransomware -operatører.
Selvom den ikke er tilgængelig for almindelige brugere, og den fulde version er prissat til ca. $ 3,500 pr. installation, angriberne finder stadig måder at bruge det på (for eksempel, stole på gammelt, piratkopieret, jailbroken og uregistrerede versioner). Så, ifølge Intel 471, Proofpoint og Optaget fremtid, Cobalt Strike er blevet hacket og piratkopieret mere end én gang i de seneste år. Forskerne beregnede også, at i 2020, Cobalt Strike og Metasploit var til stede d 25% af kontrolserverne i forskellige hack -grupper.
typisk, kriminelle bruger Cobalt Strike til efterudnyttelse, efter at have implementeret såkaldte "beacons", der giver vedvarende fjernadgang til kompromitterede enheder. Brug af beacons, hackere kan få adgang til kompromitterede systemer til at indsamle data eller implementere yderligere malware.
Imidlertid, fra kriminelles synspunkt, Cobalt Strike har altid haft en fejl. Pointen er, at den kun understøtter Windows, ikke Linux. Men, at dømme efter Intezer Lab rapport, dette er nu ændret.
For første gang, forskere lagde mærke til en ny implementering af fyrtårnet i august i år og gav dette fænomen navnet Vermilion Strike. Virksomheden understreger, at Cobalt Strike ELF binær er endnu ikke blevet opdaget af antivirusløsninger.
I bund og grund, Vermilion Strike bruger det samme konfigurationsformat som Windows Beacon, det kan kommunikere med alle Cobalt Strike -servere, men den bruger ikke Cobalt Strike -kode. Værre, eksperter mener, at den samme udvikler omskrev det originale Windows -fyrtårn for bedre at undgå opdagelse.
Når den blev implementeret på et kompromitteret system, Vermilion Strike er i stand til at udføre følgende opgaver:
- ændre arbejdsmappen;
- få den aktuelle arbejdskatalog;
- vedhæfte / skrive til fil;
- uploade filen til kommando- og kontrolserveren;
- udfør kommandoen via popen;
- få diskpartitioner;
- få en liste over filer.
Brug af telemetri leveret af McAfee Enterprise ATR, forskerne fandt ud af, at Vermilion Strike har været brugt til angreb siden august 2021. Kriminelle retter sig mod en lang række virksomheder og organisationer, fra telekommunikation og offentlige myndigheder til it -virksomheder, finansielle institutioner og konsulentfirmaer rundt om i verden.
Lad mig minde dig om, at vi også talte om, at BIOPASS malware bruger OBS Studio streaming software til at optage offerskærme.