Hakkerit luovat Cobalt Strike Beaconin Linuxille

Helga Smithsyyskuu 14, 2021Viimeksi päivitetty: syyskuu 18, 2021
344 2 minuuttia luettu

Asiantuntijat Intezer Labista löysi Vermilion Strike, Linux-mukautettu muunnelma Cobalt Strike Beaconista, jota hakkerit käyttävät jo hyökkäyksissä organisaatioita vastaan ​​ympäri maailmaa.

Kobolttilakko on laillinen kaupallinen työkalu, joka on luotu pentestereille ja punaisille joukkueille, keskittynyt hyväksikäyttöön ja hyväksikäytön jälkeiseen käyttöön. valitettavasti, hakkerit ovat rakastaneet sitä pitkään, julkisista APT -ryhmistä ransomware -operaattoreihin.

Vaikka se ei ole tavallisten käyttäjien saatavilla, ja täysversio on hinnoiteltu noin $ 3,500 asennusta kohden, Hyökkääjät löytävät edelleen tapoja käyttää sitä (esimerkiksi, vanhoihin luottaen, laittomasti, jailbroken ja rekisteröimättömät versiot). Niin, mukaan Intel 471, Todiste ja Tallennettu tulevaisuus, Cobalt Strike on hakkeroitu ja laittomasti laitettu viime vuosina. Tutkijat laskivat myös, että vuonna 2020, Cobalt Strike ja Metasploit olivat läsnä 25% eri hakkeriryhmien ohjauspalvelimista.

Tyypillisesti, rikolliset käyttävät Cobalt Strikeä hyväksikäytön jälkeen, sen jälkeen kun on otettu käyttöön niin kutsutut majakat, jotka tarjoavat jatkuvan etäkäytön vaarantuneille laitteille. Majakoiden käyttäminen, hakkerit voivat päästä käsiksi vaarantuneisiin järjestelmiin tietojen keräämiseksi tai haittaohjelmien lisäämiseksi.

kuitenkin, rikollisten näkökulmasta, Cobalt Strike on aina ollut yksi virhe. Asia on, että se tukee vain Windowsia, ei Linux. Mutta, päätellen Intezer Lab raportti, tämä on nyt muuttunut.

Ensimmäistä kertaa, tutkijat havaitsivat majakan uuden toteutuksen tämän vuoden elokuussa ja antoivat tälle ilmiölle nimen Vermilionin lakko. Yhtiö korostaa, että Cobalt Strike ELF -binaari ei ole vielä havaittu virustentorjuntaratkaisuilla.

Cobalt Strike ELF -binaaria ei ole vielä havaittu

Pohjimmiltaan, Vermilion Strike käyttää samaa kokoonpanomuotoa kuin Windows Beacon, se voi kommunikoida kaikkien Cobalt Strike -palvelimien kanssa, se ei kuitenkaan käytä Cobalt Strike -koodia. Huonompi, Asiantuntijat uskovat, että sama kehittäjä kirjoitti alkuperäisen Windows -majakan uudelleen välttämään havaitsemista.
Kun se on otettu käyttöön vaarantuneessa järjestelmässä, Vermilion Strike pystyy suorittamaan seuraavat tehtävät:

  1. vaihda työhakemisto;
  2. Hae nykyinen työhakemisto;
  3. liittää / kirjoittaa tiedostoon;
  4. lataa tiedosto komento- ja ohjauspalvelimelle;
  5. suorita komento popenin kautta;
  6. hanki levyosioita;
  7. hae luettelo tiedostoista.

Käyttämällä telemetriaa McAfee Enterprise ATR, tutkijat havaitsivat, että Vermilion Strike on käytetty hyökkäyksiin elokuusta lähtien 2021. Rikolliset kohdistuvat monenlaisiin yrityksiin ja järjestöihin, televiestinnästä ja valtion virastoista IT -yrityksiin, rahoituslaitokset ja konsulttiyritykset ympäri maailmaa.

Näiden hyökkääjien hienostuneisuus, aikomuksestaan ​​vakoilla, ja sitä, että tätä koodia ei ole aiemmin käytetty muissa hyökkäyksissä ja se on kohdistettu tiettyihin organisaatioihin, saa meidät olettamaan, että tämän uhan loi kokenut hyökkääjä.Intezer Labin analyytikot kertoivat.

Muistutan teitä, että puhuimme myös siitä, että BIOPASS haittaohjelma käyttää OBS Studion suoratoisto -ohjelmistoa uhriruutujen tallentamiseen.

Tunnisteet
Helga Smithsyyskuu 14, 2021Viimeksi päivitetty: syyskuu 18, 2021
344 2 minuuttia luettu

Helga Smith

Olin aina kiinnostunut tietojenkäsittelytieteistä, erityisesti tietoturva ja teema, jota kutsutaan nykyään "datatiede", jo varhaisesta teini-ikäisestäni. Ennen tulemista viruksenpoistotiimiin päätoimittajana, Olen työskennellyt kyberturvallisuuden asiantuntijana useissa yrityksissä, mukaan lukien yksi Amazonin urakoitsijoista. Toinen kokemus: Olen opettanut Ardenin ja Readingin yliopistoissa.

Jätä vastaus

Tämä sivusto käyttää Akismet roskapostin vähentämiseksi. Opi kommenttisi tietoja käsitellään.

Takaisin alkuun-painike