Μια ανεπίσημη έκδοση Cobalt Strike Beacon Linux που δημιουργήθηκε από άγνωστους απειλητικούς παράγοντες εντοπίστηκε από ερευνητές ασφαλείας, ενώ χρησιμοποιείται ενεργά σε επιθέσεις που στοχεύουν οργανισμούς σε όλο τον κόσμο.
Δείτε επίσης: Χάκερ στοχεύουν τη σύνδεση των θυμάτων τους στο διαδίκτυο
Το Cobalt Strike είναι ένα νόμιμο εργαλείο δοκιμής penetration σχεδιασμένο ως πλαίσιο επίθεσης για red teams (ομάδες επαγγελματιών ασφαλείας που λειτουργούν ως επιτιθέμενοι στην υποδομή του οργανισμού τους για να ανακαλύψουν κενά και τρωτά σημεία ασφαλείας.)
Το Cobalt Strike χρησιμοποιείται και από απειλητικούς φορείς για εργασίες μετά το exploitation μετά την ανάπτυξη των λεγόμενων beacons, τα οποία παρέχουν επίμονη απομακρυσμένη πρόσβαση σε παραβιασμένες συσκευές. Χρησιμοποιώντας beacons, οι επιτιθέμενοι μπορούν αργότερα να έχουν πρόσβαση σε παραβιασμένους servers για τη συλλογή δεδομένων ή την ανάπτυξη περαιτέρω malware payload.
Με την πάροδο του χρόνου, τα “σπασμένα” αντίγραφα του Cobalt Strike έχουν ληφθεί και μοιραστεί από απειλητικούς φορείς, καθιστώντας ένα από τα πιο κοινά εργαλεία που χρησιμοποιούνται σε κυβερνοεπιθέσεις που οδηγούν σε κλοπή δεδομένων και ransomware. Ωστόσο, το Cobalt Strike είχε πάντα μια αδυναμία – υποστηρίζει μόνο συσκευές Windows και δεν περιλαμβάνει Linux beacons.
Σε μια νέα έκθεση της εταιρείας ασφάλειας Intezer, οι ερευνητές εξηγούν πώς οι απειλητικοί φορείς ανέλαβαν να δημιουργήσουν τα Linux beacons τους συμβατά με το Cobalt Strike. Χρησιμοποιώντας αυτά τα beacons, οι απειλητικοί φορείς μπορούν τώρα να αποκτήσουν επιμονή και απομακρυσμένη εκτέλεση εντολών τόσο σε μηχανήματα Windows όσο και σε Linux.
Δείτε επίσης: Ο χάκερ που προκάλεσε εγκεφαλικά, λέει ότι έκλεψε 600 εκατ. crypto “για πλάκα”!
Πλήρως μη ανιχνευμένο στο VirusTotal
Οι ερευνητές της Intezer, οι οποίοι εντόπισαν για πρώτη φορά το beacon re-implementation τον Αύγουστο και το ονόμασαν Vermilion Strike, δήλωσαν ότι το Cobalt Strike ELF binary [VirusTotal] που ανακάλυψαν δεν είναι πλήρως ανιχνευμένο από λύσεις anti-malware.
Το Vermilion Strike έρχεται με την ίδια μορφή configuration με το επίσημο Windows beacon και μπορεί να “μιλήσει” με όλους τους Cobalt Strike servers, αλλά δεν χρησιμοποιεί κανέναν από τους κώδικες του Cobalt Strike.
Αυτό το νέο Linux malware διαθέτει και τεχνικά overlaps με αρχεία DLL των Windows που υπαινίσσονται τον ίδιο προγραμματιστή.
Δείτε επίσης: Η μεγαλύτερη κλοπή κρυπτονομισμάτων από χάκερς! Χάθηκαν 600 εκατ.
Εφαρμόστηκε σε συνεχείς επιθέσεις από τον Αύγουστο
H Intezer βρήκε πολλούς οργανισμούς που έχουν στοχευτεί με το Vermilion Strike από τον Αύγουστο του 2021 – από διάφορους κλάδους της βιομηχανίας, από εταιρείες τηλεπικοινωνιών και κυβερνητικές υπηρεσίες έως εταιρείες πληροφορικής, χρηματοπιστωτικά ιδρύματα και συμβουλευτικές εταιρείες σε όλο τον κόσμο.
Πηγή πληροφοριών: bleepingcomputer.com
