Des pirates créent Cobalt Strike Beacon pour Linux
Experts du laboratoire Intezer découvert Vermilion Strike, une variante de Cobalt Strike Beacon adaptée à Linux que les pirates informatiques utilisent déjà dans des attaques contre des organisations du monde entier.
Frappe au cobalt est un outil commercial légitime créé pour les pentesters et les équipes rouges, axé sur l'exploitation et la post-exploitation. Malheureusement, il a longtemps été aimé par les pirates, des groupes gouvernementaux APT aux opérateurs de ransomware.
Bien qu'elle ne soit pas disponible pour les utilisateurs ordinaires et que la version complète coûte environ $ 3,500 par installation, les attaquants trouvent toujours des moyens de l'utiliser (par example, s'appuyer sur l'ancien, piraté, versions jailbreakées et non enregistrées). Alors, selon Intelligence 471, Preuve et Avenir enregistré, Cobalt Strike a été piraté et piraté plus d'une fois ces dernières années. Les chercheurs ont également calculé qu'en 2020, Grève de cobalt et Metasploit étaient présents le 25% des serveurs de contrôle de divers groupes de hack.
Typiquement, les criminels utilisent Cobalt Strike pour la post-exploitation, après le déploiement de soi-disant « balises » qui fournissent un accès à distance persistant aux appareils compromis. Utiliser des balises, les pirates peuvent accéder aux systèmes compromis pour collecter des données ou déployer des logiciels malveillants supplémentaires.
toutefois, du point de vue des criminels, Cobalt Strike a toujours eu un défaut. Le fait est qu'il ne prend en charge que Windows, pas Linux. Mais, à en juger par le Laboratoire d'Intézer rapport, cela a maintenant changé.
Pour la première fois, les chercheurs ont remarqué une nouvelle implantation du phare en août de cette année et ont donné à ce phénomène le nom Grève Vermillon. L'entreprise souligne que le Cobalt Strike ELF binaire n'a pas encore été détecté par les solutions antivirus.
Essentiellement, Vermilion Strike utilise le même format de configuration que Windows Beacon, il peut communiquer avec tous les serveurs Cobalt Strike, Cependant, il n'utilise pas le code Cobalt Strike. Pire, les experts pensent que le même développeur a réécrit la balise Windows d'origine pour mieux éviter la détection.
Une fois déployé sur un système compromis, Vermilion Strike est capable d'effectuer les tâches suivantes:
- changer le répertoire de travail;
- obtenir le répertoire de travail actuel;
- attacher / écrire dans un fichier;
- télécharger le fichier sur le serveur de commande et de contrôle;
- exécuter la commande via popen;
- obtenir des partitions de disque;
- obtenir une liste de fichiers.
Utilisation de la télémétrie fournie par ATR McAfee Entreprise, les chercheurs ont découvert que Vermilion Strike était utilisé pour des attaques depuis août 2021. Les criminels ciblent une grande variété d'entreprises et d'organisations, des télécommunications et des agences gouvernementales aux entreprises informatiques, institutions financières et cabinets de conseil dans le monde.
Permettez-moi de vous rappeler que nous avons également parlé du fait que BIOPASS un malware utilise le logiciel de streaming OBS Studio pour enregistrer les écrans des victimes.