Hackers criam Cobalt Strike Beacon para Linux

Helga Smithsetembro 14, 2021Última Actualização setembro 18, 2021
344 lido 2 minutos

Especialistas do Intezer Lab descobriu Vermilion Strike, uma variação adaptada para Linux do Cobalt Strike Beacon que os hackers já estão usando em ataques contra organizações em todo o mundo.

Cobalt Strike é uma ferramenta comercial legítima criada para pentesters e times vermelhos, focado na exploração e pós-exploração. Infelizmente, há muito tempo é amado por hackers, de grupos APT governamentais a operadores de ransomware.

Embora não esteja disponível para usuários comuns e a versão completa tenha um preço de cerca de $ 3,500 por instalação, os invasores ainda encontram maneiras de usá-lo (por exemplo, contando com o velho, pirateado, versões desbloqueadas e não registradas). assim, de acordo com Intel 471, Prova e Futuro registrado, Cobalt Strike foi hackeado e pirateado mais de uma vez nos últimos anos. Os pesquisadores também calcularam que em 2020, Cobalt Strike e Metasploit estiveram presentes em 25% dos servidores de controle de vários grupos de hack.

Tipicamente, criminosos usam Cobalt Strike para pós-exploração, depois de implantar os chamados "beacons" que fornecem acesso remoto persistente a dispositivos comprometidos. Usando beacons, hackers podem obter acesso a sistemas comprometidos para coletar dados ou implantar malware adicional.

Contudo, do ponto de vista dos criminosos, Cobalt Strike sempre teve uma falha. A questão é que ele só oferece suporte ao Windows, não Linux. Mas, julgando pelo Laboratório Intezer relatório, agora isso mudou.

Pela primeira vez, pesquisadores notaram uma nova implantação do farol em agosto deste ano e deram a esse fenômeno o nome Vermilion Strike. A empresa enfatiza que o Binário Cobalt Strike ELF ainda não foi detectado por soluções antivírus.

O binário Cobalt Strike ELF ainda não foi detectado

Basicamente, Vermilion Strike usa o mesmo formato de configuração do Windows Beacon, ele pode se comunicar com todos os servidores Cobalt Strike, no entanto, ele não usa o código Cobalt Strike. Pior, especialistas acreditam que o mesmo desenvolvedor reescreveu o beacon original do Windows para melhor evitar a detecção.
Uma vez implantado em um sistema comprometido, Vermilion Strike é capaz de realizar as seguintes tarefas:

  1. mude o diretório de trabalho;
  2. obter o diretório de trabalho atual;
  3. anexar / escrever no arquivo;
  4. carregue o arquivo para o servidor de comando e controle;
  5. execute o comando via popen;
  6. obter partições de disco;
  7. obter uma lista de arquivos.

Usando telemetria fornecida por McAfee Enterprise ATR, os pesquisadores descobriram que Vermilion Strike tem sido usado para ataques desde agosto 2021. Os criminosos visam uma ampla variedade de empresas e organizações, de telecomunicações e agências governamentais a empresas de TI, instituições financeiras e empresas de consultoria em todo o mundo.

A sofisticação desses invasores, sua intenção de se envolver em espionagem, e o fato de que esse código não foi usado anteriormente em outros ataques e foi direcionado a organizações específicas, nos leva a supor que essa ameaça foi criada por um invasor experiente.Analistas do Intezer Lab disseram.

Deixe-me lembrá-lo de que também falamos sobre o fato de BIOPASS o malware usa o software de streaming OBS Studio para registrar as telas das vítimas.

Tag
Helga Smithsetembro 14, 2021Última Actualização setembro 18, 2021
344 lido 2 minutos

Helga Smith

Sempre me interessei por ciências da computação, especialmente segurança de dados e o tema, que é chamado hoje em dia "ciência de dados", desde minha adolescência. Antes de entrar na equipe de remoção de vírus como editor-chefe, Trabalhei como especialista em segurança cibernética em várias empresas, incluindo um dos contratados da Amazon. Outra experiencia: Eu tenho é professor nas universidades Arden e Reading.

Deixe uma resposta

Este site usa Akismet para reduzir o spam. Saiba como seus dados comentário é processado.

Botão Voltar ao Topo