Οι χάκερ δημιουργούν το Cobalt Strike Beacon για Linux

Ειδικοί από το Intezer Lab ανακάλυψε το Vermilion Strike, μια παραλλαγή του Cobalt Strike Beacon προσαρμοσμένη στο Linux που οι χάκερ χρησιμοποιούν ήδη σε επιθέσεις εναντίον οργανισμών σε όλο τον κόσμο.

Cobalt Strike είναι ένα νόμιμο εμπορικό εργαλείο που δημιουργήθηκε για πεντέστερ και κόκκινες ομάδες, επικεντρώθηκε στην εκμετάλλευση και μετά την εκμετάλλευση. Δυστυχώς, έχει αγαπηθεί από καιρό από τους χάκερ, από κυβερνητικές ομάδες APT έως χειριστές ransomware.

Αν και δεν είναι διαθέσιμο στους απλούς χρήστες και η πλήρης έκδοση κοστίζει περίπου $ 3,500 ανά εγκατάσταση, οι επιτιθέμενοι εξακολουθούν να βρίσκουν τρόπους να το χρησιμοποιήσουν (για παράδειγμα, στηριζόμενος στο παλιό, πειρατής, jailbroken και μη καταχωρημένες εκδόσεις). Έτσι, σύμφωνα με Intel 471, Απόδειξη και Ηχογραφημένο Μέλλον, Το Cobalt Strike έχει παραβιαστεί και πειραθεί περισσότερες από μία φορές τα τελευταία χρόνια. Οι ερευνητές υπολόγισαν επίσης ότι στο 2020, Cobalt Strike και Metasploit ήταν παρόντες στις 25% των διακομιστών ελέγχου διαφόρων ομάδων hack.

Τυπικά, οι εγκληματίες χρησιμοποιούν το Cobalt Strike για μετά την εκμετάλλευση, μετά την ανάπτυξη των λεγόμενων «φάρων» που παρέχουν επίμονη απομακρυσμένη πρόσβαση σε παραβιασμένες συσκευές. Χρήση φάρων, οι χάκερ μπορούν να αποκτήσουν πρόσβαση σε παραβιασμένα συστήματα για τη συλλογή δεδομένων ή την ανάπτυξη πρόσθετου κακόβουλου λογισμικού.

Ωστόσο, από την πλευρά των εγκληματιών, Το Cobalt Strike είχε πάντα ένα ελάττωμα. Το θέμα είναι ότι υποστηρίζει μόνο Windows, όχι Linux. Αλλά, κρίνοντας από το Intezer Lab κανω ΑΝΑΦΟΡΑ, αυτό έχει αλλάξει τώρα.

Για πρώτη φορά, οι ερευνητές παρατήρησαν μια νέα εφαρμογή του φάρου τον Αύγουστο του τρέχοντος έτους και έδωσαν σε αυτό το φαινόμενο το όνομα Vermilion Strike. Η εταιρεία τονίζει ότι το Δυαδικό Cobalt Strike ELF δεν έχει εντοπιστεί ακόμη από λύσεις προστασίας από ιούς.

Βασικα, Το Vermilion Strike χρησιμοποιεί την ίδια μορφή διαμόρφωσης με το Windows Beacon, μπορεί να επικοινωνήσει με όλους τους διακομιστές Cobalt Strike, Ωστόσο, δεν χρησιμοποιεί κώδικα Cobalt Strike. Χειρότερος, οι ειδικοί πιστεύουν ότι ο ίδιος προγραμματιστής ξαναέγραψε τον αρχικό φάρο των Windows για να αποφύγει καλύτερα τον εντοπισμό.
Μόλις αναπτυχθεί σε ένα συμβιβασμένο σύστημα, Το Vermilion Strike είναι σε θέση να εκτελέσει τις ακόλουθες εργασίες:

1. αλλάξτε τον κατάλογο εργασίας;
2. λάβετε τον τρέχοντα κατάλογο εργασίας;
3. συνδέω / γράφω στο αρχείο;
4. ανεβάστε το αρχείο στον διακομιστή εντολών και ελέγχου;
5. εκτελέστε την εντολή μέσω popen;
6. λάβετε διαμερίσματα δίσκου;
7. λάβετε μια λίστα αρχείων.

Χρήση τηλεμετρίας που παρέχεται από McAfee Enterprise ATR, οι ερευνητές ανακάλυψαν ότι το Vermilion Strike χρησιμοποιήθηκε για επιθέσεις από τον Αύγουστο 2021. Οι εγκληματίες στοχεύουν σε μια μεγάλη ποικιλία εταιρειών και οργανισμών, από τις τηλεπικοινωνίες και τις κρατικές υπηρεσίες έως τις εταιρείες πληροφορικής, χρηματοπιστωτικά ιδρύματα και συμβουλευτικές εταιρείες σε όλο τον κόσμο.

Επιτρέψτε μου να σας υπενθυμίσω ότι μιλήσαμε επίσης για το γεγονός ότι BIOPASS Το κακόβουλο λογισμικό χρησιμοποιεί λογισμικό ροής OBS Studio για την εγγραφή οθονών θυμάτων.