Gli hacker creano Cobalt Strike Beacon per Linux

Esperti di Intezer Lab scoperto Vermilion Strike, una variante adattata a Linux di Cobalt Strike Beacon che gli hacker stanno già utilizzando negli attacchi contro le organizzazioni di tutto il mondo.

Colpo di cobalto è uno strumento commerciale legittimo creato per pentester e squadre rosse, incentrato sullo sfruttamento e il post-sfruttamento. Sfortunatamente, è stato a lungo amato dagli hacker, dai gruppi APT governativi agli operatori di ransomware.

Sebbene non sia disponibile per gli utenti ordinari e la versione completa ha un prezzo di circa $ 3,500 per installazione, gli aggressori trovano ancora il modo di usarlo (per esempio, fare affidamento sul vecchio, piratato, versioni jailbroken e non registrate). Così, secondo Intel 471, punto di prova e Futuro registrato, Cobalt Strike è stato hackerato e piratato più di una volta negli ultimi anni. I ricercatori hanno anche calcolato che in 2020, Colpo di cobalto e Metasploit erano presenti su 25% dei server di controllo di vari gruppi di hacker.

Tipicamente, i criminali usano Cobalt Strike per il post-sfruttamento, dopo aver implementato i cosiddetti "beacon" che forniscono accesso remoto persistente ai dispositivi compromessi. Utilizzo dei beacon, gli hacker possono accedere a sistemi compromessi per raccogliere dati o distribuire malware aggiuntivo.

però, dal punto di vista dei criminali, Cobalt Strike ha sempre avuto un difetto. Il punto è che supporta solo Windows, non Linux. Ma, a giudicare dal Intezer Lab rapporto, questo ora è cambiato.

Per la prima volta, i ricercatori hanno notato una nuova implementazione del faro nell'agosto di quest'anno e hanno dato il nome a questo fenomeno Colpo Vermiglio. L'azienda sottolinea che Cobalt Strike ELF binario non è ancora stato rilevato dalle soluzioni antivirus.

Fondamentalmente, Vermilion Strike utilizza lo stesso formato di configurazione di Windows Beacon, può comunicare con tutti i server Cobalt Strike, tuttavia non usa il codice Cobalt Strike. Peggio, gli esperti ritengono che lo stesso sviluppatore abbia riscritto il beacon di Windows originale per evitare il rilevamento.
Una volta distribuito su un sistema compromesso, Vermilion Strike è in grado di eseguire i seguenti compiti:

1. cambia la directory di lavoro;
2. ottenere la directory di lavoro corrente;
3. allegare / scrivi su file;
4. caricare il file sul server di comando e controllo;
5. eseguire il comando tramite popen;
6. ottenere partizioni del disco;
7. ottenere un elenco di file.

Utilizzando la telemetria fornita da McAfee Enterprise ATR, i ricercatori hanno scoperto che Vermilion Strike è stato utilizzato per gli attacchi da agosto 2021. I criminali prendono di mira un'ampia varietà di aziende e organizzazioni, dalle telecomunicazioni e dalle agenzie governative alle aziende IT, istituzioni finanziarie e società di consulenza in tutto il mondo.

Vi ricordo che abbiamo parlato anche del fatto che BIOPASS malware utilizza il software di streaming OBS Studio per registrare gli schermi delle vittime.