Hakerzy tworzą Cobalt Strike Beacon dla Linuksa
Eksperci z Intezer Lab odkrył Vermilion Strike, przystosowana do Linuksa odmiana Cobalt Strike Beacon, którą hakerzy już wykorzystują w atakach na organizacje na całym świecie.
Uderzenie kobaltu to legalne narzędzie komercyjne stworzone dla pentesterów i czerwonych zespołów, nastawiony na eksploatację i post-eksploatację. Niestety, od dawna jest kochany przez hakerów, od rządowych grup APT po operatorów ransomware.
Chociaż nie jest dostępny dla zwykłych użytkowników, a pełna wersja kosztuje około $ 3,500 na instalację, atakujący wciąż znajdują sposoby na jego wykorzystanie (na przykład, polegając na starym, piracki, wersje z jailbreakiem i niezarejestrowane). Więc, według Intel 471, Punkt kontrolny i Nagrana przyszłość, Cobalt Strike był w ostatnich latach wielokrotnie atakowany i piracki. Naukowcy obliczyli również, że w 2020, Uderzenie kobaltu i Metasplot byli obecni w dniu 25% serwerów kontrolnych różnych grup hakerskich.
zazwyczaj, przestępcy używają Cobalt Strike do post-eksploatacji, po wdrożeniu tak zwanych „beaconów”, które zapewniają stały zdalny dostęp do zhakowanych urządzeń. Korzystanie z beaconów, hakerzy mogą uzyskać dostęp do zaatakowanych systemów w celu gromadzenia danych lub wdrażania dodatkowego złośliwego oprogramowania.
jednak, z punktu widzenia przestępców, Cobalt Strike zawsze miał jedną wadę. Chodzi o to, że obsługuje tylko Windows, nie Linux. Ale, sądząc po Laboratorium Intezera raport, to się teraz zmieniło.
Po raz pierwszy, badacze zauważyli nową realizację latarni w sierpniu tego roku i nadali temu zjawisku nazwę Cynobrowy Uderzenie. Firma podkreśla, że Kod binarny Cobalt Strike ELF nie został jeszcze wykryty przez rozwiązania antywirusowe.
Zasadniczo, Vermilion Strike używa tego samego formatu konfiguracji co Windows Beacon, może komunikować się ze wszystkimi serwerami Cobalt Strike, jednak nie używa kodu Cobalt Strike. Gorzej, eksperci uważają, że ten sam programista przepisał oryginalny sygnał nawigacyjny systemu Windows, aby lepiej uniknąć wykrycia.
Po wdrożeniu na zaatakowanym systemie, Vermilion Strike jest w stanie wykonać następujące zadania::
- zmień katalog roboczy;
- pobierz bieżący katalog roboczy;
- przytwierdzać / zapisz do pliku;
- przesłać plik na serwer dowodzenia i kontroli;
- wykonaj polecenie przez popen;
- zdobądź partycje dyskowe;
- pobierz listę plików.
Korzystanie z telemetrii dostarczonej przez McAfee Enterprise ATR, naukowcy odkryli, że Vermilion Strike jest używany do ataków od sierpnia 2021. Przestępcy atakują wiele różnych firm i organizacji, od telekomów i agencji rządowych po firmy IT, instytucje finansowe i firmy doradcze na całym świecie.
Przypomnę, że rozmawialiśmy też o tym, że BIOPASS złośliwe oprogramowanie wykorzystuje oprogramowanie do przesyłania strumieniowego OBS Studio do nagrywania ekranów ofiar.