Hacker erstellen Cobalt Strike Beacon für Linux

Experten von Intezer Lab zinnoberroter Schlag entdeckt, eine Linux-adaptierte Variante von Cobalt Strike Beacon, die Hacker bereits bei Angriffen auf Unternehmen auf der ganzen Welt einsetzen.

Kobaltschlag ist ein legitimes kommerzielles Tool, das für Pentester und rote Teams entwickelt wurde, fokussiert auf Ausbeutung und Nachausbeutung. Unglücklicherweise, Es wird seit langem von Hackern geliebt, von staatlichen APT-Gruppen bis hin zu Ransomware-Betreibern.

Obwohl es für normale Benutzer nicht verfügbar ist und die Vollversion etwa kostet $ 3,500 pro Installation, Angreifer finden immer noch Möglichkeiten, es zu nutzen (beispielsweise, auf alte verlassen, Raubkopien, Jailbroken und nicht registrierte Versionen). So, entsprechend Intel 471, Beweispunkt und Aufgezeichnete Zukunft, Cobalt Strike wurde in den letzten Jahren mehr als einmal gehackt und raubkopiert. Die Forscher berechneten auch, dass in 2020, Kobaltschlag und Metasploit waren anwesend auf 25% der Kontrollserver verschiedener Hackergruppen.

typisch, Kriminelle nutzen Cobalt Strike für die Nachausbeutung, nach der Bereitstellung sogenannter „Beacons“, die dauerhaften Fernzugriff auf kompromittierte Geräte ermöglichen. Beacons verwenden, Hacker können sich Zugang zu kompromittierten Systemen verschaffen, um Daten zu sammeln oder zusätzliche Malware bereitzustellen.

jedoch, aus krimineller Sicht, Cobalt Strike hatte schon immer einen Fehler. Der Punkt ist, dass es nur Windows unterstützt, nicht Linux. Aber, nach dem urteilen Intezer Lab Prüfbericht, das hat sich jetzt geändert.

Zum ersten Mal, Forscher bemerkten im August dieses Jahres eine neue Implementierung des Leuchtturms und gaben diesem Phänomen den Namen Zinnoberroter Schlag. Das Unternehmen betont, dass die Cobalt Strike ELF binär wurde noch nicht von Antivirenlösungen erkannt.

Grundsätzlich, Vermilion Strike verwendet das gleiche Konfigurationsformat wie Windows Beacon, es kann mit allen Cobalt Strike Servern kommunizieren, Es verwendet jedoch keinen Cobalt Strike-Code. Schlechter, Experten glauben, dass derselbe Entwickler das ursprüngliche Windows-Beacon neu geschrieben hat, um eine Erkennung besser zu vermeiden.
Einmal auf einem kompromittierten System bereitgestellt, Zinnoberrot Strike kann die folgenden Aufgaben ausführen::

1. das Arbeitsverzeichnis ändern;
2. Holen Sie sich das aktuelle Arbeitsverzeichnis;
3. anfügen / in Datei schreiben;
4. Laden Sie die Datei auf den Command and Control Server hoch;
5. führe den Befehl über popen aus;
6. Festplattenpartitionen abrufen;
7. eine Liste der Dateien erhalten.

Verwenden der Telemetrie von McAfee Enterprise ATR, die Forscher fanden heraus, dass Vermilion Strike seit August für Angriffe eingesetzt wird 2021. Kriminelle greifen eine Vielzahl von Unternehmen und Organisationen an, von Telekommunikations- und Regierungsbehörden bis hin zu IT-Unternehmen, Finanzinstitute und Beratungsunternehmen weltweit.

Lassen Sie mich daran erinnern, dass wir auch darüber gesprochen haben, dass BIOPASS Malware verwendet die Streaming-Software OBS Studio, um die Bildschirme der Opfer aufzuzeichnen.