黑客为 Linux 创建 Cobalt Strike Beacon

Intezer实验室的专家 发现了朱砂打击, 一种适用于 Linux 的 Cobalt Strike Beacon 变体，黑客已经使用它来攻击世界各地的组织.

钴罢工 是为渗透测试人员和红队创建的合法商业工具, 专注于开发和后开发. 不幸, 长期以来一直受到黑客的喜爱, 从政府 APT 组织到勒索软件运营商.

虽然普通用户无法使用，完整版售价约为 $ 3,500 每次安装, 攻击者仍在寻找使用它的方法 (例如, 依靠旧, 盗版, 越狱和未注册版本). 所以, 根据 英特尔 471, 证明点 和 记录的未来, 近年来，Cobalt Strike 不止一次被黑客入侵和盗版. 研究人员还计算出，在 2020, 钴罢工和 元破解 出现在 25% 各种黑客组织的控制服务器.

通常, 犯罪分子使用 Cobalt Strike 进行后期开发, 在部署所谓的“信标”后，提供对受感染设备的持久远程访问. 使用信标, 黑客可以访问受感染的系统以收集数据或部署其他恶意软件.

然而, 从罪犯的角度, Cobalt Strike 一直有一个缺陷. 重点是它只支持Windows, 不是 Linux. 但, 由 英特泽实验室 报告, 这已经改变了.

首次, 研究人员在今年 8 月注意到灯塔的新实施，并将这种现象命名为 朱红之击. 该公司强调， Cobalt Strike ELF 二进制文件 尚未被防病毒解决方案检测到.

基本上, Vermilion Strike 使用与 Windows Beacon 相同的配置格式, 它可以与所有 Cobalt Strike 服务器通信, 但是它不使用 Cobalt Strike 代码. 更差, 专家认为，同一个开发人员重写了原始的 Windows 信标，以更好地避免检测.
一旦部署在受感染的系统上, Vermilion Strike 能够执行以下任务:

1. 更改工作目录;
2. 获取当前工作目录;
3. 附 / 写入文件;
4. 将文件上传到命令和控制服务器;
5. 通过 popen 执行命令;
6. 获取磁盘分区;
7. 获取文件列表.

使用遥测提供的 迈克菲企业 ATR, 研究人员发现 Vermilion Strike 自 8 月以来一直被用于攻击 2021. 犯罪分子针对各种各样的公司和组织, 从电信和政府机构到 IT 公司, 世界各地的金融机构和咨询公司.

让我提醒你，我们还谈到了这样一个事实 生物通行证 恶意软件使用 OBS Studio 流媒体软件记录受害者屏幕.