En omimplementering av Cobalt Strike har “skrivits från grunden” för att attackera Linux-system.
Dubbade Vermilion Strike, Intezer sa på tisdagen att den nya varianten lutar sig åt Cobalt Strike-funktionalitet, inklusive kommandot-och-kontroll (C2) -protokollet, dess fjärråtkomstfunktion och dess förmåga att köra skalinstruktioner.
Cobalt Strike är ett legitimt verktyg för penetrationstest för Windows -system. Verktyget släpptes 2012 och har ständigt missbrukats av hotaktörer inklusive avancerade persistent hot (APT) -grupper som Cozy Bear och kampanjer som är utformade för att sprida Trickbot och Qbot/Qakbot -banktrojanen.
Cobalt Strikes källkod för version 4.0 påstås ha läckt ut på nätet, men de flesta hotaktörer som spåras av cybersäkerhetsteam verkar förlita sig på piratkopior och spruckna kopior av programvaran.
Fram till nu, åtminstone.
I augusti avslöjade Intezer den nya ELF -implementeringen av Cobalt Strikes fyr, som verkar ha sitt ursprung i Malaysia.
När forskarna rapporterade Vermilion Strike gick det oupptäckt på VirusTotal som skadlig programvara. (Men i skrivande stund har 24 antivirusleverantörer nu registrerat hotet.)
Byggd på en Red Hat Linux -distribution, kan skadlig programvara starta fyrar, lista filer, ändra och dra fungerande kataloger, lägga till och skriva till filer, ladda upp data till sin C2, utföra kommandon via popen -funktionen och analysera diskpartitioner.
Även om de kan attackera Linux -versioner har Windows -prover också hittats som använder samma C2 -server och innehåller samma funktionalitet.
Forskarna arbetade med McAfee Enterprise ATR för att undersöka programvaran och har kommit fram till att Vermilion Strike används i riktade attacker mot telekom, myndigheter, IT, rådgivande och finansiella organisationer över hela världen.
“Sofistikationen av detta hot, dess avsikt att bedriva spionage och det faktum att koden inte har setts tidigare i andra attacker, tillsammans med det faktum att den riktar sig mot specifika enheter i naturen, leder till oss att tro att detta hot utvecklades av en skicklig hotaktör, säger Intezer.
Detta är dock inte den enda inofficiella hamnen i Cobalt Strike. Det finns också geacon, ett open source -projekt baserat på programmeringsspråket Golang.
Tidigare och relaterad täckning
Så här missbrukas Cobalt Strike penetrationstestverktyg av cyberkriminella
Cobalt Strike och Metasploit svarade för en fjärdedel av alla C & amp; C -servrar för skadlig kod under 2020 < Denna stora ransomware attack attackerades i sista minuten. Så här upptäckte de det
Har du ett tips? Hör av dig säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Säkerhet TV Datahantering CXO Datacenter 