Hackare skapar Cobalt Strike Beacon för Linux

Helga Smithseptember 14, 2021Senast uppdaterad: september 18, 2021
344 2 minuter läst

Experter från Intezer Lab upptäckte Vermilion Strike, en Linux-anpassad variant av Cobalt Strike Beacon som hackare redan använder i attacker mot organisationer runt om i världen.

Koboltstrejk är ett legitimt kommersiellt verktyg skapat för pentesters och röda team, fokuserat på exploatering och efterexploatering. Tyvärr, det har länge varit älskat av hackare, från statliga APT -grupper till ransomware -operatörer.

Även om den inte är tillgänglig för vanliga användare och den fullständiga versionen kostar ungefär $ 3,500 per installation, angripare hittar fortfarande sätt att använda det (till exempel, förlitar sig på gammalt, piratkopierad, jailbroken och oregistrerade versioner). Så, enligt Intel 471, Proofpoint och Inspelad framtid, Cobalt Strike har hackats och piratkopierats mer än en gång under de senaste åren. Forskarna beräknade också att i 2020, Cobalt Strike och Metasploit var närvarande den 25% av kontrollservrarna för olika hackgrupper.

Typiskt, kriminella använder Cobalt Strike för efterexploatering, efter att ha distribuerat så kallade ”fyrar” som ger ihållande fjärråtkomst till komprometterade enheter. Använda fyrar, hackare kan få tillgång till komprometterade system för att samla in data eller distribuera ytterligare skadlig kod.

dock, ur kriminell synvinkel, Cobalt Strike har alltid haft en brist. Poängen är att den bara stöder Windows, inte Linux. Men, att döma av Intezer Lab Rapportera, detta har nu förändrats.

För första gången, forskare märkte en ny implementering av fyren i augusti i år och gav detta fenomen namnet Vermilion Strike. Företaget betonar att Cobalt Strike ELF binär har ännu inte upptäckts av antiviruslösningar.

Cobalt Strike ELF binär har ännu inte detekterats

I grund och botten, Vermilion Strike använder samma konfigurationsformat som Windows Beacon, den kan kommunicera med alla Cobalt Strike -servrar, men den använder inte Cobalt Strike -kod. Värre, experter tror att samma utvecklare skrev om den ursprungliga Windows -fyren för att bättre undvika upptäckt.
En gång distribuerad på ett komprometterat system, Vermilion Strike kan utföra följande uppgifter:

  1. ändra arbetskatalogen;
  2. hämta den aktuella arbetskatalogen;
  3. bifoga / skriva till fil;
  4. ladda upp filen till kommando- och kontrollservern;
  5. kör kommandot via popen;
  6. få diskpartitioner;
  7. få en lista med filer.

Använda telemetri från McAfee Enterprise ATR, forskarna kom på att Vermilion Strike har använts för attacker sedan augusti 2021. Kriminella riktar sig till en mängd olika företag och organisationer, från telekom och myndigheter till IT -företag, finansinstitut och konsultföretag runt om i världen.

Sofistikationen hos dessa angripare, deras avsikt att bedriva spionage, och det faktum att denna kod inte tidigare har använts i andra attacker och var riktad mot specifika organisationer, får oss att anta att detta hot skapades av en erfaren angripare.Analytiker från Intezer Lab sa.

Låt mig påminna dig om att vi också pratade om det faktum att BIOPASS skadlig programvara använder OBS Studio -strömmande programvara för att spela in offerskärmar.

Taggar
Helga Smithseptember 14, 2021Senast uppdaterad: september 18, 2021
344 2 minuter läst

Helga Smith

Jag var alltid intresserad av datavetenskap, särskilt datasäkerhet och temat, som kallas nuförtiden "datavetenskap", sedan mina tidiga tonåringar. Innan du kommer in i Virusborttagningsteamet som chefredaktör, Jag arbetade som cybersäkerhetsexpert i flera företag, inklusive en av Amazons entreprenörer. En annan upplevelse: Jag har undervisning vid universitet i Arden och Reading.

Lämna ett svar

Denna webbplats använder Akismet att minska mängden skräppost. Lär dig hur din kommentar data bearbetas.

Tillbaka till toppen