Hakerzy tworzą Cobalt Strike Beacon dla Linuksa

Helga Smithwrzesień 14, 2021Ostatnio zaktualizowany: wrzesień 18, 2021
344 2 minuty przeczytane

Eksperci z Intezer Lab odkrył Vermilion Strike, przystosowana do Linuksa odmiana Cobalt Strike Beacon, którą hakerzy już wykorzystują w atakach na organizacje na całym świecie.

Uderzenie kobaltu to legalne narzędzie komercyjne stworzone dla pentesterów i czerwonych zespołów, nastawiony na eksploatację i post-eksploatację. Niestety, od dawna jest kochany przez hakerów, od rządowych grup APT po operatorów ransomware.

Chociaż nie jest dostępny dla zwykłych użytkowników, a pełna wersja kosztuje około $ 3,500 na instalację, atakujący wciąż znajdują sposoby na jego wykorzystanie (na przykład, polegając na starym, piracki, wersje z jailbreakiem i niezarejestrowane). Więc, według Intel 471, Punkt kontrolny i Nagrana przyszłość, Cobalt Strike był w ostatnich latach wielokrotnie atakowany i piracki. Naukowcy obliczyli również, że w 2020, Uderzenie kobaltu i Metasplot byli obecni w dniu 25% serwerów kontrolnych różnych grup hakerskich.

zazwyczaj, przestępcy używają Cobalt Strike do post-eksploatacji, po wdrożeniu tak zwanych „beaconów”, które zapewniają stały zdalny dostęp do zhakowanych urządzeń. Korzystanie z beaconów, hakerzy mogą uzyskać dostęp do zaatakowanych systemów w celu gromadzenia danych lub wdrażania dodatkowego złośliwego oprogramowania.

jednak, z punktu widzenia przestępców, Cobalt Strike zawsze miał jedną wadę. Chodzi o to, że obsługuje tylko Windows, nie Linux. Ale, sądząc po Laboratorium Intezera raport, to się teraz zmieniło.

Po raz pierwszy, badacze zauważyli nową realizację latarni w sierpniu tego roku i nadali temu zjawisku nazwę Cynobrowy Uderzenie. Firma podkreśla, że Kod binarny Cobalt Strike ELF nie został jeszcze wykryty przez rozwiązania antywirusowe.

Kod binarny Cobalt Strike ELF nie został jeszcze wykryty

Zasadniczo, Vermilion Strike używa tego samego formatu konfiguracji co Windows Beacon, może komunikować się ze wszystkimi serwerami Cobalt Strike, jednak nie używa kodu Cobalt Strike. Gorzej, eksperci uważają, że ten sam programista przepisał oryginalny sygnał nawigacyjny systemu Windows, aby lepiej uniknąć wykrycia.
Po wdrożeniu na zaatakowanym systemie, Vermilion Strike jest w stanie wykonać następujące zadania::

  1. zmień katalog roboczy;
  2. pobierz bieżący katalog roboczy;
  3. przytwierdzać / zapisz do pliku;
  4. przesłać plik na serwer dowodzenia i kontroli;
  5. wykonaj polecenie przez popen;
  6. zdobądź partycje dyskowe;
  7. pobierz listę plików.

Korzystanie z telemetrii dostarczonej przez McAfee Enterprise ATR, naukowcy odkryli, że Vermilion Strike jest używany do ataków od sierpnia 2021. Przestępcy atakują wiele różnych firm i organizacji, od telekomów i agencji rządowych po firmy IT, instytucje finansowe i firmy doradcze na całym świecie.

Wyrafinowanie tych napastników, ich zamiar angażowania się w szpiegostwo, oraz fakt, że kod ten nie był wcześniej wykorzystywany w innych atakach i był wymierzony w konkretne organizacje, prowadzi nas do założenia, że ​​to zagrożenie zostało stworzone przez doświadczonego atakującego.Analitycy z Intezer Lab powiedzieli.

Przypomnę, że rozmawialiśmy też o tym, że BIOPASS złośliwe oprogramowanie wykorzystuje oprogramowanie do przesyłania strumieniowego OBS Studio do nagrywania ekranów ofiar.

Tagi
Helga Smithwrzesień 14, 2021Ostatnio zaktualizowany: wrzesień 18, 2021
344 2 minuty przeczytane

Helga Smith

Zawsze interesowałem się informatyką, zwłaszcza bezpieczeństwo danych i motyw, który nazywa się obecnie "nauka o danych", od moich wczesnych lat nastoletnich. Przed dołączeniem do zespołu usuwania wirusów jako redaktor naczelny, Pracowałem jako ekspert ds. cyberbezpieczeństwa w kilku firmach, w tym jeden z kontrahentów Amazona. Kolejne doświadczenie: Uczę na uniwersytetach Arden i Reading.

Zostaw odpowiedź

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

Przycisk Powrót do góry