Linux Implementácia Cobalt Strike Beacon Targeting Organizations Worldwide

Výskumníci v pondelok stiahli obaly z novoobjaveného Linuxu a Windows re-implementácia Cobalt Strike Beacon, ktorý sa aktívne zameriava na vládu, telekomunikácie, informačné technológie a finančné inštitúcie vo voľnej prírode.

Zatiaľ nezistená verzia nástroja na penetračné testovanie – s kódovým označením „Vermilion Strike“ – predstavuje jeden z mála linuxových portov, ktorý je tradične WindowsČervený tímový nástroj, ktorý sú silne prerobení protivníkmi na uskutočnenie radu cielených útokov. Cobalt Strike sa prezentuje ako „softvér na emuláciu hrozieb“, pričom Beacon je užitočným zaťažením navrhnutým na modelovanie pokročilého herca a duplikovanie ich akcií po exploatácii.

“Ukradnutá vzorka používa pri komunikácii so serverom C2 protokol príkazov a ovládania (C2) Cobalt Strike a má funkcie vzdialeného prístupu, ako je nahrávanie súborov, spúšťanie príkazov shellu a zapisovanie do súborov,” uviedli výskumníci spoločnosti Intezer v dnes zverejnenej správe. zdieľané s The Hacker News.

Zistenia izraelskej spoločnosti zaoberajúcej sa kybernetickou bezpečnosťou pochádzajú z artefaktu nahraného do VirusTotal 10. augusta z Malajzie. V čase písania iba dva antimalvérové ​​nástroje označia súbor ako škodlivý.

Po nainštalovaní sa malvér spustí sám na pozadí a dešifruje konfiguráciu potrebnú na fungovanie majáku, potom odoberie odtlačky prstov napadnutému počítaču so systémom Linux a nadviaže komunikáciu so vzdialeným serverom cez DNS alebo HTTP na získanie inštrukcií zakódovaných v base64 a AES, ktoré umožňujú spúšťa ľubovoľné príkazy, zapisova do súborov a nahráva súbory späť na server.

Je zaujímavé, že ďalšie vzorky identifikované v priebehu vyšetrovania vrhli svetlo na Windows variant malvéru, zdieľanie prekrývajúcich sa funkcií a domén C2 používaných na vzdialené ovládnutie hostiteľov. Intezer tiež upozornil na obmedzený rozsah špionážnej kampane, pričom zaznamenal použitie malvéru pri špecifických útokoch na rozdiel od rozsiahlych prienikov, pričom ho pripisuje aj „kvalifikovanému aktérovi hrozieb“ vzhľadom na skutočnosť, že Vermilion Strike nebol pozorovaný pri iných útokoch. randiť.

Toto zďaleka nie je prvýkrát, čo sa legitímna súprava nástrojov na testovanie bezpečnosti použila na organizovanie útokov proti širokému spektru cieľov. Minulý mesiac americká bezpečnostná firma Secureworks podrobne opísala kampaň spear-phishing uskutočnenú skupinou hrozieb sledovanou ako Tin Woodlawn (aka APT32 alebo OceanLotus), ktorá využívala prispôsobenú a vylepšenú verziu Cobalt Strike na obchádzanie bezpečnostných protiopatrení v snahe ukradnúť duševné vlastníctvo a obchodné tajomstvá.

“Vermilion Strike a ďalšie linuxové hrozby zostávajú stálou hrozbou. Prevaha linuxových serverov v cloude a ich neustály rast vyzýva APT, aby upravili svoje sady nástrojov, aby mohli navigovať v existujúcom prostredí,” uviedli vedci.