黑客為 Linux 創建 Cobalt Strike Beacon
Intezer實驗室的專家 發現了硃砂打擊, 一種適用於 Linux 的 Cobalt Strike Beacon 變體,黑客已經使用它來攻擊世界各地的組織.
鈷罷工 是為滲透測試人員和紅隊創建的合法商業工具, 專注於開發和後開發. 不幸, 長期以來一直受到黑客的喜愛, 從政府 APT 組織到勒索軟件運營商.
雖然普通用戶無法使用,完整版售價約為 $ 3,500 每次安裝, 攻擊者仍在尋找使用它的方法 (例如, 依靠舊, 盜版, 越獄和未註冊版本). 所以, 根據 英特爾 471, 證明點 和 記錄的未來, 近年來,Cobalt Strike 不止一次被黑客入侵和盜版. 研究人員還計算出,在 2020, 鈷罷工和 元破解 出現在 25% 各種黑客組織的控制服務器.
通常, 犯罪分子使用 Cobalt Strike 進行後期開發, 在部署所謂的“信標”後,提供對受感染設備的持久遠程訪問. 使用信標, 黑客可以訪問受感染的系統以收集數據或部署其他惡意軟件.
然而, 從罪犯的角度, Cobalt Strike 一直有一個缺陷. 重點是它只支持Windows, 不是 Linux. 但, 由 英特澤實驗室 報告, 這已經改變了.
首次, 研究人員在今年 8 月注意到燈塔的新實施,並將這種現象命名為 朱紅之擊. 該公司強調, Cobalt Strike ELF 二進製文件 尚未被防病毒解決方案檢測到.
基本上, Vermilion Strike 使用與 Windows Beacon 相同的配置格式, 它可以與所有 Cobalt Strike 服務器通信, 但是它不使用 Cobalt Strike 代碼. 更差, 專家認為,同一個開發人員重寫了原始的 Windows 信標,以更好地避免檢測.
一旦部署在受感染的系統上, Vermilion Strike 能夠執行以下任務:
- 更改工作目錄;
- 獲取當前工作目錄;
- 附 / 寫入文件;
- 將文件上傳到命令和控制服務器;
- 通過 popen 執行命令;
- 獲取磁盤分區;
- 獲取文件列表.
使用遙測提供的 邁克菲企業 ATR, 研究人員發現 Vermilion Strike 自 8 月以來一直被用於攻擊 2021. 犯罪分子針對各種各樣的公司和組織, 從電信和政府機構到 IT 公司, 世界各地的金融機構和諮詢公司.
讓我提醒你,我們還談到了這樣一個事實 生物通行證 惡意軟件使用 OBS Studio 流媒體軟件記錄受害者屏幕.