Hacker'lar Linux için Cobalt Strike Beacon'ı yaratıyor
Intezer Lab'den Uzmanlar Vermilion Strike'ı keşfetti, Bilgisayar korsanlarının dünya çapındaki kuruluşlara yönelik saldırılarda halihazırda kullandıkları, Linux'a uyarlanmış bir Kobalt Strike Beacon varyasyonu.
kobalt grevi pentesterler ve kırmızı ekipler için oluşturulmuş meşru bir ticari araçtır, sömürü ve sömürü sonrası odaklı. ne yazık ki, uzun zamandır hackerlar tarafından seviliyor, devlet APT gruplarından fidye yazılımı operatörlerine.
Sıradan kullanıcılar için mevcut olmasa ve tam sürüm yaklaşık olarak fiyatlandırılsa da $ 3,500 yükleme başına, saldırganlar hala onu kullanmanın yollarını buluyor (Örneğin, eskiye güvenmek, korsan, Jailbreakli ve kayıtsız sürümler). Yani, buna göre Intel 471, kanıt noktası ve Kaydedilmiş Gelecek, Cobalt Strike, son yıllarda bir kereden fazla saldırıya uğradı ve korsanlandı. Araştırmacılar ayrıca şunu da hesapladı: 2020, Kobalt Grev ve metasploit üzerinde mevcuttu 25% çeşitli hack gruplarının kontrol sunucularının.
Tipik, suçlular, sömürü sonrası için Kobalt Grevi kullanıyor, güvenliği ihlal edilmiş cihazlara kalıcı uzaktan erişim sağlayan "işaretçileri" dağıttıktan sonra. İşaretleri kullanma, bilgisayar korsanları, veri toplamak veya ek kötü amaçlı yazılım dağıtmak için güvenliği ihlal edilmiş sistemlere erişebilir.
ancak, suçluların bakış açısından, Kobalt Strike'ın her zaman bir kusuru olmuştur. Mesele şu ki, yalnızca Windows'u destekliyor, Linux değil. Fakat, tarafından yargılamak Intezer Laboratuvarı rapor, bu şimdi değişti.
İlk kez, Araştırmacılar bu yılın ağustos ayında deniz fenerinin yeni bir uygulamasını fark ettiler ve bu fenomene adını verdiler. vermilyon grevi. Şirket şunu vurguluyor: Kobalt Strike ELF ikili antivirüs çözümleri tarafından henüz algılanmadı.
Temel olarak, Vermilion Strike, Windows Beacon ile aynı yapılandırma biçimini kullanır, tüm Cobalt Strike sunucularıyla iletişim kurabilir, ancak Kobalt Strike kodunu kullanmaz. Daha kötüsü, uzmanlar, algılanmayı daha iyi önlemek için aynı geliştiricinin orijinal Windows işaretini yeniden yazdığına inanıyor.
Güvenliği ihlal edilmiş bir sisteme dağıtıldıktan sonra, Vermilion Strike aşağıdaki görevleri yerine getirebilir::
- çalışma dizinini değiştir;
- geçerli çalışma dizinini al;
- eklemek / dosyaya yaz;
- dosyayı komuta ve kontrol sunucusuna yükleyin;
- komutu popen aracılığıyla yürütün;
- disk bölümlerini al;
- dosyaların bir listesini al.
tarafından sağlanan telemetriyi kullanma McAfee Kurumsal ATR, araştırmacılar, Vermilion Strike'ın Ağustos ayından bu yana saldırılar için kullanıldığını anladılar. 2021. Suçlular çok çeşitli şirket ve kuruluşları hedef alıyor, telekom ve devlet kurumlarından BT şirketlerine, dünya çapında finans kurumları ve danışmanlık firmaları.
Şu gerçeği de konuştuğumuzu hatırlatmama izin verin. BİYOPAS kötü amaçlı yazılım, kurban ekranlarını kaydetmek için OBS Studio akış yazılımını kullanır.
