ハッカーがLinux用のコバルトストライクビーコンを作成

IntezerLabの専門家 ヴァーミリオンストライクを発見, Linuxに適合した、ハッカーが世界中の組織に対する攻撃ですでに使用しているCobalt StrikeBeaconのバリエーション.

コバルトストライク ペンテスターとレッドチームのために作成された合法的な商用ツールです, 搾取と搾取後の焦点. 不運にも, それは長い間ハッカーに愛されてきました, 政府のAPTグループからランサムウェアオペレーターまで.

通常のユーザーは利用できず、フルバージョンの価格は約 $ 3,500 インストールごと, 攻撃者はまだそれを使用する方法を見つけます (例えば, 古いものに頼る, 海賊版, 脱獄および未登録バージョン). そう, によると インテル 471, Proofpoint そして 記録された未来, Cobalt Strikeは、近年、ハッキングされ、海賊版になっています。. 研究者はまたそれを計算しました 2020, コバルトストライクと Metasploit に存在していた 25% さまざまなハックグループの制御サーバーの.

一般的に, 犯罪者はエクスプロイト後のエクスプロイトにCobaltStrikeを使用します, 侵害されたデバイスへの永続的なリモートアクセスを提供する、いわゆる「ビーコン」を展開した後. ビーコンの使用, ハッカーは、侵害されたシステムにアクセスして、データを収集したり、追加のマルウェアを展開したりできます。.

しかしながら, 犯罪者の観点から, コバルトストライクには常に1つの欠陥がありました. ポイントは、Windowsのみをサポートしているということです, Linuxではありません. しかし, によって判断する インテザーラボ 報告, これは今変更されました.

初めて, 研究者たちは今年の8月に灯台の新しい実装に気づき、この現象に名前を付けました 朱色のストライキ. 同社は、 コバルトストライクELFバイナリ ウイルス対策ソリューションによってまだ検出されていません.

基本的, Vermilion Strikeは、Windowsビーコンと同じ構成形式を使用します, すべてのCobaltStrikeサーバーと通信できます, ただし、コバルトストライクコードは使用しません. 悪い, 専門家は、同じ開発者が検出を回避するために元のWindowsビーコンを書き直したと考えています.
侵害されたシステムに展開されると, バーミリオンストライクは以下のタスクを実行できます:

1. 作業ディレクトリを変更します;
2. 現在の作業ディレクトリを取得します;
3. 添付 / ファイルに書き込む;
4. ファイルをコマンドおよび制御サーバーにアップロードします;
5. popenを介してコマンドを実行します;
6. ディスクパーティションを取得する;
7. ファイルのリストを取得する.

によって提供されるテレメトリを使用する McAfee Enterprise ATR, 研究者たちは、バーミリオンストライクが8月から攻撃に使用されていることを理解しました 2021. 犯罪者はさまざまな企業や組織を標的にしています, 電気通信や政府機関からIT企業まで, 世界中の金融機関やコンサルティング会社.

私たちがその事実についても話したことを思い出させてください バイオパス マルウェアはOBSStudioストリーミングソフトウェアを使用して被害者の画面を記録します.