Hakkerit luovat Cobalt Strike Beaconin Linuxille
Asiantuntijat Intezer Labista löysi Vermilion Strike, Linux-mukautettu muunnelma Cobalt Strike Beaconista, jota hakkerit käyttävät jo hyökkäyksissä organisaatioita vastaan ympäri maailmaa.
Kobolttilakko on laillinen kaupallinen työkalu, joka on luotu pentestereille ja punaisille joukkueille, keskittynyt hyväksikäyttöön ja hyväksikäytön jälkeiseen käyttöön. valitettavasti, hakkerit ovat rakastaneet sitä pitkään, julkisista APT -ryhmistä ransomware -operaattoreihin.
Vaikka se ei ole tavallisten käyttäjien saatavilla, ja täysversio on hinnoiteltu noin $ 3,500 asennusta kohden, Hyökkääjät löytävät edelleen tapoja käyttää sitä (esimerkiksi, vanhoihin luottaen, laittomasti, jailbroken ja rekisteröimättömät versiot). Niin, mukaan Intel 471, Todiste ja Tallennettu tulevaisuus, Cobalt Strike on hakkeroitu ja laittomasti laitettu viime vuosina. Tutkijat laskivat myös, että vuonna 2020, Cobalt Strike ja Metasploit olivat läsnä 25% eri hakkeriryhmien ohjauspalvelimista.
Tyypillisesti, rikolliset käyttävät Cobalt Strikeä hyväksikäytön jälkeen, sen jälkeen kun on otettu käyttöön niin kutsutut majakat, jotka tarjoavat jatkuvan etäkäytön vaarantuneille laitteille. Majakoiden käyttäminen, hakkerit voivat päästä käsiksi vaarantuneisiin järjestelmiin tietojen keräämiseksi tai haittaohjelmien lisäämiseksi.
kuitenkin, rikollisten näkökulmasta, Cobalt Strike on aina ollut yksi virhe. Asia on, että se tukee vain Windowsia, ei Linux. Mutta, päätellen Intezer Lab raportti, tämä on nyt muuttunut.
Ensimmäistä kertaa, tutkijat havaitsivat majakan uuden toteutuksen tämän vuoden elokuussa ja antoivat tälle ilmiölle nimen Vermilionin lakko. Yhtiö korostaa, että Cobalt Strike ELF -binaari ei ole vielä havaittu virustentorjuntaratkaisuilla.
Pohjimmiltaan, Vermilion Strike käyttää samaa kokoonpanomuotoa kuin Windows Beacon, se voi kommunikoida kaikkien Cobalt Strike -palvelimien kanssa, se ei kuitenkaan käytä Cobalt Strike -koodia. Huonompi, Asiantuntijat uskovat, että sama kehittäjä kirjoitti alkuperäisen Windows -majakan uudelleen välttämään havaitsemista.
Kun se on otettu käyttöön vaarantuneessa järjestelmässä, Vermilion Strike pystyy suorittamaan seuraavat tehtävät:
- vaihda työhakemisto;
- Hae nykyinen työhakemisto;
- liittää / kirjoittaa tiedostoon;
- lataa tiedosto komento- ja ohjauspalvelimelle;
- suorita komento popenin kautta;
- hanki levyosioita;
- hae luettelo tiedostoista.
Käyttämällä telemetriaa McAfee Enterprise ATR, tutkijat havaitsivat, että Vermilion Strike on käytetty hyökkäyksiin elokuusta lähtien 2021. Rikolliset kohdistuvat monenlaisiin yrityksiin ja järjestöihin, televiestinnästä ja valtion virastoista IT -yrityksiin, rahoituslaitokset ja konsulttiyritykset ympäri maailmaa.
Muistutan teitä, että puhuimme myös siitä, että BIOPASS haittaohjelma käyttää OBS Studion suoratoisto -ohjelmistoa uhriruutujen tallentamiseen.