האקרים יוצרים קובלט Strike Beacon עבור לינוקס

הלגה סמית 'ספטמבר 14, 2021עודכן לאחרונה: ספטמבר 18, 2021
345 2 דקות לקרוא

מומחים ממעבדת אינטצר גילה את שביתת ורמיליון, וריאציה מותאמת לינוקס של קובלט Strike Beacon שהאקרים כבר משתמשים בה בהתקפות נגד ארגונים ברחבי העולם.

שביתת קובלט הוא כלי מסחרי לגיטימי שנוצר עבור פנטסטרים וצוותים אדומים, התמקדו בניצול ואחרי הניצול. לצערי, זה כבר מזמן אהוב על האקרים, מקבוצות APT ממשלתיות למפעילי תוכנות כופר.

למרות שהיא אינה זמינה למשתמשים רגילים והגרסה המלאה במחיר של כ $ 3,500 לכל התקנה, התוקפים עדיין מוצאים דרכים להשתמש בו (לדוגמה, להסתמך על ישן, פיראטי, גרסאות כלואות ולא רשומות). לכן, לפי אינטל 471, Proofpoint ו עתיד מוקלט, קובלט סטרייק נפרץ ופיראט יותר מפעם אחת בשנים האחרונות. החוקרים חישבו גם כי ב- 2020, שביתת קובלט ו Metasploit היו נוכחים ב 25% של שרתי הבקרה של קבוצות פריצה שונות.

בדרך כלל, פושעים משתמשים בקובלט סטרייק לצורך ניצול לאחר, לאחר פריסת מה שנקרא "משואות" המספקות גישה מתמשכת מרחוק למכשירים שנפגעו. שימוש במשואות, האקרים יכולים לקבל גישה למערכות שנפגעו לאסוף נתונים או לפרוס תוכנות זדוניות נוספות.

למרות זאת, מנקודת מבט של עבריינים, לקובאלט סטרייק היה תמיד פגם אחד. הנקודה היא שהוא תומך רק ב- Windows, לא לינוקס. אבל, אם לשפוט לפי מעבדת אינטצר להגיש תלונה, זה השתנה כעת.

בפעם הראשונה, חוקרים הבחינו ביישום חדש של המגדלור באוגוסט השנה ונתנו לתופעה זו את השם Vermilion Strike. החברה מדגישה כי קובאל סטרייק ELF בינארי עדיין לא זוהה על ידי פתרונות אנטי וירוס.

בינארי Cobalt Strike ELF עדיין לא זוהה

בעיקרון, Vermilion Strike משתמש באותו פורמט תצורה של Windows Beacon, הוא יכול לתקשר עם כל שרתי קובלט סטרייק, עם זאת הוא אינו משתמש בקוד קובלט סטרייק. רע יותר, מומחים מאמינים שאותו מפתח כתב מחדש את המשואה המקורית של Windows כדי למנוע זיהוי טוב יותר.
לאחר הפריסה על מערכת שנפגעת, Vermilion Strike מסוגל לבצע את המשימות הבאות:

  1. שנה את ספריית העבודה;
  2. קבל את ספריית העבודה הנוכחית;
  3. לְצַרֵף / לכתוב לקובץ;
  4. העלה את הקובץ לשרת הפקודה והבקרה;
  5. בצע את הפקודה באמצעות popen;
  6. לקבל מחיצות דיסק;
  7. לקבל רשימת קבצים.

שימוש בטלמטריה המסופקת על ידי McAfee Enterprise ATR, החוקרים הבינו ש- Vermilion Strike שימש להתקפות מאז אוגוסט 2021. עבריינים מכוונים למגוון רחב של חברות וארגונים, מטלקום וסוכנויות ממשלתיות ועד חברות IT, מוסדות פיננסיים וחברות ייעוץ ברחבי העולם.

התחכום של התוקפים האלה, בכוונתם לעסוק בריגול, והעובדה שקוד זה לא שימש בעבר בהתקפות אחרות והיה מכוון לארגונים ספציפיים, גורם לנו להניח כי איום זה נוצר על ידי תוקף מנוסה.מסרו אנליסטים של מעבדת אינטצר.

הרשה לי להזכיר לך שדיברנו גם על כך BIOPASS תוכנה זדונית משתמשת בתוכנת הזרמת OBS Studio כדי להקליט מסכי קורבנות.

תגים
הלגה סמית 'ספטמבר 14, 2021עודכן לאחרונה: ספטמבר 18, 2021
345 2 דקות לקרוא

הלגה סמית '

תמיד התעניינתי במדעי המחשב, במיוחד אבטחת נתונים והנושא, שנקרא בימינו "מדע נתונים", מאז שנות העשרה המוקדמות שלי. לפני שנכנסתי לצוות הסרת וירוסים כעורך ראשי, עבדתי כמומחה לאבטחת סייבר בכמה חברות, כולל אחד מקבלני אמזון. חוויה נוספת: יש לי ללמד באוניברסיטאות ארדן ורידינג.

השאר תגובה

אתר זה משתמש Akismet להפחית זבל. למד כיצד נתוני תגובתך מעובד.

כפתור חזרה למעלה