Hackere lager Cobalt Strike Beacon for Linux

Helga Smithseptember 14, 2021Sist oppdatert: september 18, 2021
344 2 minutter lest

Eksperter fra Intezer Lab oppdaget Vermilion Strike, en Linux-tilpasset variant av Cobalt Strike Beacon som hackere allerede bruker i angrep mot organisasjoner rundt om i verden.

Koboltstreik er et legitimt kommersielt verktøy laget for pentestere og røde lag, fokusert på utnyttelse og etterutnyttelse. dessverre, det har lenge vært elsket av hackere, fra offentlige APT -grupper til ransomware -operatører.

Selv om den ikke er tilgjengelig for vanlige brukere, og fullversjonen er priset til omtrent $ 3,500 per installasjon, angriperne finner fremdeles måter å bruke den på (for eksempel, stole på gammelt, piratkopiert, jailbroken og uregistrerte versjoner). Så, i følge Intel 471, Proofpoint og Innspilt fremtid, Cobalt Strike har blitt hacket og piratkopiert mer enn en gang de siste årene. Forskerne beregnet også at i 2020, Cobalt Strike og Metasploit var tilstede på 25% av kontrollserverne til forskjellige hackgrupper.

Typisk, kriminelle bruker Cobalt Strike for etterutnyttelse, etter å ha distribuert såkalte "beacons" som gir vedvarende ekstern tilgang til kompromitterte enheter. Bruk av fyrtårn, hackere kan få tilgang til kompromitterte systemer for å samle inn data eller distribuere ytterligere skadelig programvare.

derimot, fra et kriminelt synspunkt, Cobalt Strike har alltid hatt en feil. Poenget er at den bare støtter Windows, ikke Linux. Men, å dømme etter Intezer Lab rapportere, dette har nå endret seg.

For første gang, forskere la merke til en ny implementering av fyret i august i år og ga dette fenomenet navnet Vermilion Strike. Selskapet understreker at Cobalt Strike ELF binær har ennå ikke blitt oppdaget av antivirusløsninger.

Cobalt Strike ELF binær er ennå ikke oppdaget

I utgangspunktet, Vermilion Strike bruker samme konfigurasjonsformat som Windows Beacon, den kan kommunisere med alle Cobalt Strike -servere, men den bruker ikke Cobalt Strike -kode. Verre, eksperter tror at den samme utvikleren skrev om det originale Windows -fyrtårnet for bedre å unngå deteksjon.
En gang distribuert på et kompromittert system, Vermilion Strike er i stand til å utføre følgende oppgaver:

  1. endre arbeidskatalogen;
  2. få den nåværende arbeidskatalogen;
  3. feste / skrive til fil;
  4. last opp filen til kommando- og kontrollserveren;
  5. utfør kommandoen via popen;
  6. få diskpartisjoner;
  7. få en liste over filer.

Bruke telemetri levert av McAfee Enterprise ATR, forskerne fant ut at Vermilion Strike har blitt brukt til angrep siden august 2021. Kriminelle retter seg mot et stort utvalg av selskaper og organisasjoner, fra telekom og offentlige etater til IT -selskaper, finansinstitusjoner og konsulentfirmaer rundt om i verden.

Sofistikasjonen til disse angriperne, deres intensjon om å drive med spionasje, og det faktum at denne koden ikke tidligere har blitt brukt i andre angrep og var rettet mot spesifikke organisasjoner, får oss til å anta at denne trusselen ble skapt av en erfaren angriper.Intezer Lab -analytikere sa.

La meg minne deg på at vi også snakket om det faktum BIOPASS skadelig programvare bruker OBS Studio streamingprogramvare for å registrere offerskjermer.

Merker
Helga Smithseptember 14, 2021Sist oppdatert: september 18, 2021
344 2 minutter lest

Helga Smith

Jeg var alltid interessert i datavitenskap, spesielt datasikkerhet og temaet, som kalles i våre dager "datavitenskap", siden min tidlige tenåring. Før du kommer inn i Virusfjerningsteamet som sjefredaktør, Jeg jobbet som cybersikkerhetsekspert i flere selskaper, inkludert en av Amazons entreprenører. Nok en opplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Legg igjen et svar

Denne siden bruker Akismet å redusere spam. Lær hvordan din kommentar data behandles.

Tilbake til toppen