Los piratas informáticos crean Cobalt Strike Beacon para Linux
Expertos de Intezer Lab descubierto Vermilion Strike, una variación adaptada a Linux de Cobalt Strike Beacon que los piratas informáticos ya están utilizando en ataques contra organizaciones de todo el mundo.
Golpe de cobalto es una herramienta comercial legítima creada para pentesters y equipos rojos, centrado en la explotación y posexplotación. Desafortunadamente, ha sido amado durante mucho tiempo por los piratas informáticos, desde grupos APT gubernamentales hasta operadores de ransomware.
Aunque no está disponible para usuarios normales y la versión completa tiene un precio de aproximadamente $ 3,500 por instalación, los atacantes todavía encuentran formas de usarlo (por ejemplo, confiando en el viejo, pirateado, versiones con jailbreak y no registradas). Asi que, de acuerdo a Intel 471, Proofpoint y Futuro grabado, Cobalt Strike ha sido pirateado y pirateado más de una vez en los últimos años. Los investigadores también calcularon que en 2020, Golpe de cobalto y Metasploit estuvieron presentes en 25% de los servidores de control de varios grupos de piratería.
Típicamente, los delincuentes utilizan Cobalt Strike para la posexplotación, después de implementar las llamadas "balizas" que brindan acceso remoto persistente a los dispositivos comprometidos. Usando balizas, Los piratas informáticos pueden obtener acceso a sistemas comprometidos para recopilar datos o implementar malware adicional..
sin embargo, desde el punto de vista de un criminal, Cobalt Strike siempre ha tenido un defecto. El caso es que solo es compatible con Windows, no Linux. Pero, a juzgar por el Laboratorio Intezer reporte, esto ahora ha cambiado.
Por primera vez, Los investigadores notaron una nueva implementación del faro en agosto de este año y le dieron a este fenómeno el nombre Golpe bermellón. La empresa destaca que la Cobalt Strike ELF binario aún no ha sido detectado por las soluciones antivirus.
Básicamente, Vermilion Strike usa el mismo formato de configuración que Windows Beacon, puede comunicarse con todos los servidores de Cobalt Strike, sin embargo, no usa el código Cobalt Strike. Peor, Los expertos creen que el mismo desarrollador reescribió la baliza de Windows original para evitar mejor la detección..
Una vez implementado en un sistema comprometido, Vermilion Strike es capaz de realizar las siguientes tareas:
- cambiar el directorio de trabajo;
- obtener el directorio de trabajo actual;
- adjuntar / escribir en archivo;
- cargar el archivo en el servidor de comando y control;
- ejecutar el comando a través de popen;
- obtener particiones de disco;
- obtener una lista de archivos.
Usando telemetría proporcionada por McAfee Enterprise ATR, los investigadores descubrieron que Vermilion Strike se ha utilizado para ataques desde agosto 2021. Los delincuentes se dirigen a una amplia variedad de empresas y organizaciones, desde telecomunicaciones y agencias gubernamentales hasta empresas de TI, instituciones financieras y firmas consultoras de todo el mundo.
Permítame recordarle que también hablamos sobre el hecho de que BIOPASS el malware utiliza el software de transmisión OBS Studio para registrar las pantallas de las víctimas.
