Hackers maken Cobalt Strike Beacon voor Linux

Experts van Intezer Lab ontdekte Vermilion Strike, een aan Linux aangepaste variant van Cobalt Strike Beacon die hackers al gebruiken bij aanvallen op organisaties over de hele wereld.

Cobalt Strike is een legitieme commerciële tool gemaakt voor pentesters en rode teams, gericht op exploitatie en post-exploitatie. helaas, het is al lang geliefd bij hackers, van APT-groepen van de overheid tot ransomware-operators.

Hoewel het niet beschikbaar is voor gewone gebruikers en de volledige versie ongeveer € kost, $ 3,500 per installatie, aanvallers vinden nog steeds manieren om het te gebruiken (bijvoorbeeld, vertrouwen op oud, gepirateerd, gejailbreakte en niet-geregistreerde versies). Zo, volgens Intel 471, Bewijspunt en Opgenomen toekomst, Cobalt Strike is de afgelopen jaren meer dan eens gehackt en illegaal gekopieerd. De onderzoekers berekenden ook dat in 2020, Cobalt Strike en Metasploit waren aanwezig op 25% van de controleservers van verschillende hackgroepen.

Typisch, criminelen gebruiken Cobalt Strike voor post-exploitatie, na het inzetten van zogenaamde "bakens" die permanente toegang op afstand bieden tot gecompromitteerde apparaten. Bakens gebruiken, hackers kunnen toegang krijgen tot gecompromitteerde systemen om gegevens te verzamelen of aanvullende malware te implementeren.

Echter, vanuit het oogpunt van criminelen, Cobalt Strike heeft altijd één fout gehad. Het punt is dat het alleen Windows ondersteunt, niet Linux. Maar, te oordelen naar de Intezer-lab verslag doen van, dit is nu veranderd.

Voor de eerste keer, onderzoekers merkten in augustus van dit jaar een nieuwe implementatie van de vuurtoren op en gaven dit fenomeen de naam Vermiljoen staking. Het bedrijf benadrukt dat de Cobalt Strike ELF binair is nog niet gedetecteerd door antivirusoplossingen.

In principe, Vermilion Strike gebruikt hetzelfde configuratieformaat als Windows Beacon, het kan communiceren met alle Cobalt Strike-servers, het gebruikt echter geen Cobalt Strike-code. Slechter, experts zijn van mening dat dezelfde ontwikkelaar het originele Windows-baken heeft herschreven om detectie beter te voorkomen.
Eenmaal geïmplementeerd op een gecompromitteerd systeem, Vermilion Strike kan de volgende taken uitvoeren::

1. verander de werkdirectory;
2. de huidige werkmap ophalen;
3. bijvoegen / naar bestand schrijven;
4. upload het bestand naar de command and control-server;
5. voer de opdracht uit via popen;
6. schijfpartities ophalen;
7. een lijst met bestanden ophalen.

Met behulp van telemetrie geleverd door McAfee Enterprise ATR, kwamen de onderzoekers erachter dat Vermilion Strike sinds augustus wordt gebruikt voor aanvallen 2021. Criminelen richten zich op een breed scala aan bedrijven en organisaties, van telecom- en overheidsinstanties tot IT-bedrijven, financiële instellingen en adviesbureaus over de hele wereld.

Laat me je eraan herinneren dat we het ook hadden over het feit dat BIOPAS malware gebruikt OBS Studio-streamingsoftware om schermen van slachtoffers op te nemen.