Hackere lager Cobalt Strike Beacon for Linux
Eksperter fra Intezer Lab oppdaget Vermilion Strike, en Linux-tilpasset variant av Cobalt Strike Beacon som hackere allerede bruker i angrep mot organisasjoner rundt om i verden.
Koboltstreik er et legitimt kommersielt verktøy laget for pentestere og røde lag, fokusert på utnyttelse og etterutnyttelse. dessverre, det har lenge vært elsket av hackere, fra offentlige APT -grupper til ransomware -operatører.
Selv om den ikke er tilgjengelig for vanlige brukere, og fullversjonen er priset til omtrent $ 3,500 per installasjon, angriperne finner fremdeles måter å bruke den på (for eksempel, stole på gammelt, piratkopiert, jailbroken og uregistrerte versjoner). Så, i følge Intel 471, Proofpoint og Innspilt fremtid, Cobalt Strike har blitt hacket og piratkopiert mer enn en gang de siste årene. Forskerne beregnet også at i 2020, Cobalt Strike og Metasploit var tilstede på 25% av kontrollserverne til forskjellige hackgrupper.
Typisk, kriminelle bruker Cobalt Strike for etterutnyttelse, etter å ha distribuert såkalte "beacons" som gir vedvarende ekstern tilgang til kompromitterte enheter. Bruk av fyrtårn, hackere kan få tilgang til kompromitterte systemer for å samle inn data eller distribuere ytterligere skadelig programvare.
derimot, fra et kriminelt synspunkt, Cobalt Strike har alltid hatt en feil. Poenget er at den bare støtter Windows, ikke Linux. Men, å dømme etter Intezer Lab rapportere, dette har nå endret seg.
For første gang, forskere la merke til en ny implementering av fyret i august i år og ga dette fenomenet navnet Vermilion Strike. Selskapet understreker at Cobalt Strike ELF binær har ennå ikke blitt oppdaget av antivirusløsninger.
I utgangspunktet, Vermilion Strike bruker samme konfigurasjonsformat som Windows Beacon, den kan kommunisere med alle Cobalt Strike -servere, men den bruker ikke Cobalt Strike -kode. Verre, eksperter tror at den samme utvikleren skrev om det originale Windows -fyrtårnet for bedre å unngå deteksjon.
En gang distribuert på et kompromittert system, Vermilion Strike er i stand til å utføre følgende oppgaver:
- endre arbeidskatalogen;
- få den nåværende arbeidskatalogen;
- feste / skrive til fil;
- last opp filen til kommando- og kontrollserveren;
- utfør kommandoen via popen;
- få diskpartisjoner;
- få en liste over filer.
Bruke telemetri levert av McAfee Enterprise ATR, forskerne fant ut at Vermilion Strike har blitt brukt til angrep siden august 2021. Kriminelle retter seg mot et stort utvalg av selskaper og organisasjoner, fra telekom og offentlige etater til IT -selskaper, finansinstitusjoner og konsulentfirmaer rundt om i verden.
La meg minne deg på at vi også snakket om det faktum BIOPASS skadelig programvare bruker OBS Studio streamingprogramvare for å registrere offerskjermer.