هکرها برای لینوکس چراغ اعتصاب کبالت ایجاد می کنند
کارشناسان آزمایشگاه Intezer اعتصاب ورمیلیون را کشف کرد, تنوع سازگار با لینوکس از چراغ اعتصاب کبالت که هکرها در حال حاضر در حملات علیه سازمانها در سراسر جهان از آن استفاده می کنند.
کوبال اعتصاب یک ابزار تجاری قانونی است که برای تیم های پنتسترها و تیم های قرمز ایجاد شده است, متمرکز بر بهره برداری و پس از بهره برداری. متاسفانه, مدتهاست که مورد علاقه هکرها قرار گرفته است, از گروه های مناسب دولت گرفته تا اپراتورهای باج افزار.
اگرچه در دسترس کاربران معمولی نیست و نسخه کامل آن قیمت گذاری شده است $ 3,500 در هر نصب, مهاجمان هنوز راه هایی برای استفاده از آن پیدا می کنند (مثلا, تکیه بر قدیمی, دزدی دریایی, نسخه های زندان و ثبت نشده). بنابراین, مطابق این کشور 471, تصویب و آینده ثبت شده, اعتصاب کبالت بیش از یک بار در سالهای اخیر هک شده و دزدان دریایی شده است. محققان نیز این را محاسبه کردند 2020, اعتصاب کبالت و متقاطع حضور در 25% از سرورهای کنترل گروههای مختلف هک.
معمولا, مجرمان از اعتصاب کبالت برای پس از بهره برداری استفاده می کنند, پس از استقرار به اصطلاح "چراغها" که دسترسی مداوم از راه دور به دستگاه های به خطر افتاده را فراهم می کند. با استفاده از چراغها, هکرها می توانند برای جمع آوری داده ها یا استقرار بدافزار اضافی به سیستم های به خطر افتاده دسترسی پیدا کنند.
با این حال, از دیدگاه یک جنایتکار, اعتصاب کبالت همیشه یک نقص داشته است. نکته این است که فقط از ویندوز پشتیبانی می کند, لینوکس نیست. اما, قضاوت در مورد آزمایشگاه گزارش, این اکنون تغییر کرده است.
برای اولین بار, محققان متوجه اجرای جدید فانوس دریایی در آگوست سال جاری شدند و این پدیده را به این پدیده دادند اعتصاب ورمیلون. این شرکت تأکید می کند که کبالت اعتصاب جن باینری هنوز توسط راه حل های آنتی ویروس شناسایی نشده است.
اساساً, Vermilion Strike از همان قالب پیکربندی Windows Beacon استفاده می کند, این می تواند با تمام سرورهای اعتصاب کبالت ارتباط برقرار کند, با این حال از کد اعتصاب کبالت استفاده نمی کند. بدتر, کارشناسان بر این باورند که همان توسعه دهنده چراغ اصلی ویندوز را بازنویسی می کند تا از تشخیص بهتر جلوگیری کند.
پس از استقرار در یک سیستم به خطر افتاده, Vermilion Strike قادر به انجام کارهای زیر است:
- فهرست کار را تغییر دهید;
- فهرست کار فعلی را دریافت کنید;
- ضمیمه کردن / برای پرونده بنویسید;
- پرونده را در سرور فرمان و کنترل بارگذاری کنید;
- دستور را از طریق Popen اجرا کنید;
- پارتیشن های دیسک دریافت کنید;
- لیستی از پرونده ها را دریافت کنید.
با استفاده از تله متری ارائه شده توسط McAfee Enterprise ATR, محققان فهمیدند که اعتصاب ورمیلیون از ماه اوت برای حملات مورد استفاده قرار گرفته است 2021. مجرمان طیف گسترده ای از شرکت ها و سازمان ها را هدف قرار می دهند, از راه دور و سازمان های دولتی گرفته تا شرکت های فناوری اطلاعات, موسسات مالی و شرکت های مشاوره در سراسر جهان.
بگذارید به شما یادآوری کنم که ما نیز در مورد این واقعیت صحبت کردیم بیپا بدافزار از نرم افزار جریان Studio برای ضبط صفحه های قربانی استفاده می کند.
