Созданный хакерами маяк Linux Cobalt Strike используется в продолжающихся атаках

32
Исследователи составили список уязвимостей, которыми злоупотребляют банды вымогателей

Неофициальная версия Cobalt Strike Beacon Linux, созданная неизвестными злоумышленниками с нуля, была обнаружена исследователями безопасности и активно использовалась в атаках, нацеленных на организации по всему миру.

Cobalt Strike – это законный инструмент для тестирования на проникновение, разработанный как структура атаки для красных команд (группы специалистов по безопасности, которые действуют как злоумышленники на инфраструктуру своей собственной организации, чтобы обнаружить бреши и уязвимости).

Cobalt Strike также используется злоумышленниками (которые обычно используются при атаках программ-вымогателей) для задач после эксплуатации после развертывания так называемых маяков, которые обеспечивают постоянный удаленный доступ к скомпрометированным устройствам. Используя маяки, злоумышленники могут позже получить доступ к взломанным серверам для сбора данных или развертывания дополнительных вредоносных программ.

Со временем взломанные копии Cobalt Strike были получены и распространены злоумышленниками, что стало одним из наиболее распространенных инструментов, используемых в кибератаках, ведущих к краже данных и программам-вымогателям. Однако у Cobalt Strike всегда была слабость – он поддерживает только устройства Windows и не включает маяки Linux.

В новом отчете охранной фирмы Intezer исследователи объясняют, как злоумышленники взяли на себя ответственность создать свои маяки Linux, совместимые с Cobalt Strike. Используя эти маяки, злоумышленники теперь могут получить постоянство и удаленное выполнение команд как на компьютерах Windows, так и на Linux.

Полностью не обнаруживается в VirusTotal

Исследователи Intezer, которые впервые заметили повторную реализацию маяка в августе и окрестили его Vermilion Strike, заявили, что обнаруженный ими двоичный файл Cobalt Strike ELF [ VirusTotal ] в настоящее время полностью не обнаруживается средствами защиты от вредоносных программ.

Vermilion Strike имеет тот же формат конфигурации, что и официальный маяк Windows, и может взаимодействовать со всеми серверами Cobalt Strike, но не использует код Cobalt Strike.

Эта новая вредоносная программа для Linux также имеет технические совпадения (те же функции и серверы управления и контроля) с файлами DLL Windows, намекающими на одного и того же разработчика.

«Скрытый образец использует протокол Cobalt Strike Command and Control (C2) при обмене данными с сервером C2 и имеет возможности удаленного доступа, такие как загрузка файлов, выполнение команд оболочки и запись в файлы», – сказал Интезер. 

«Вредоносная программа полностью не обнаружена в VirusTotal на момент написания этой статьи и была загружена из Малайзии».

После развертывания в скомпрометированной системе Linux Vermilion Strike может выполнять следующие задачи:

  • Сменить рабочий каталог
  • Получить текущий рабочий каталог
  • Добавить / записать в файл
  • Загрузить файл в C2
  • Выполнить команду через popen
  • Получить разделы диска
  • Список файлов

Используется в постоянных атаках с августа

Используя данные телеметрии, предоставленные McAfee Enterprise ATR, Intezer также обнаружил несколько организаций, нацеленных на использование Vermilion Strike с августа 2021 года из различных секторов промышленности, от телекоммуникационных компаний и государственных учреждений до ИТ-компаний, финансовых учреждений и консультационных компаний по всему миру.

Также стоит упомянуть, что Vermilion Strike – не первый или единственный перенос Cobalt Strike’s Beacon на Linux, с geacon , реализацией на основе Go с открытым исходным кодом, общедоступной в течение последних двух лет.

Однако, как сообщил BleepingComputer Intezer, «это первая реализация Linux, которая использовалась для реальных атак». К сожалению, нет информации о первоначальном векторе атаки, который злоумышленники используют для нацеливания на системы Linux.

“Изощренность этой угрозы, ее намерение вести шпионаж и тот факт, что код не использовался ранее в других атаках, вместе с тем фактом, что он нацелен на определенные сущности в дикой природе, заставляет нас полагать, что эта угроза была разработан опытным злоумышленником », – заключил Intezer.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here