En re-implementering af Cobalt Strike er blevet “skrevet fra bunden” for at angribe Linux-systemer.
Overkaldt Vermilion Strike, Intezer sagde tirsdag, at den nye variant læner sig op ad Cobalt Strike-funktionalitet, herunder dens kommando-og-kontrol (C2) -protokol, dens fjernadgangsfunktionalitet og dens evne til at køre shell-instruktioner.
Cobalt Strike er et legitimt penetrationstestværktøj til Windows -systemer. Værktøjet blev udgivet i 2012 og er konstant blevet misbrugt af trusselsaktører, herunder avancerede persistente trusselgrupper (Cosy Bear) og kampagner designet til at sprede Trickbot og Qbot/Qakbot -bank Trojan.
Cobalt Strikes kildekode til version 4.0 blev angiveligt lækket online, men de fleste trusselsaktører sporet af cybersikkerhedsteam ser ud til at stole på pirat og revnede kopier af softwaren.
Indtil nu i hvert fald.
I august afslørede Intezer den nye ELF -implementering af Cobalt Strike's fyrtårn, der ser ud til at stamme fra Malaysia.
Da forskerne rapporterede Vermilion Strike, gik det uopdaget på VirusTotal som ondsindet software. (I skrivende stund har 24 antivirusleverandører nu registreret truslen.)
Malware, der er bygget på en Red Hat Linux -distribution, er i stand til at starte beacons, liste filer, ændre og trække arbejdskataloger, tilføje og skrive til filer, uploade data til sin C2, udføre kommandoer via popen -funktionen og analysere diskpartitioner.
Selvom de er i stand til at angribe Linux -builds, er der også fundet Windows -prøver, der bruger den samme C2 -server og indeholder den samme funktionalitet.
Forskerne arbejdede sammen med McAfee Enterprise ATR for at undersøge softwaren og er kommet til den konklusion, at Vermilion Strike bruges i målrettede angreb mod telekom, regering, IT, rådgivende og finansielle organisationer verden over.
“Sofistikationen af denne trussel, dens hensigt med at udøve spionage og det faktum, at koden ikke er set før i andre angreb, sammen med at den er målrettet mod bestemte enheder i naturen, fører til os til at tro, at denne trussel blev udviklet af en dygtig trusselsaktør, «siger Intezer.
Dette er imidlertid ikke den eneste uofficielle havn i Cobalt Strike. Der er også geacon, et open source -projekt baseret på programmeringssproget Golang.
Tidligere og relateret dækning
Sådan misbruges Cobalt Strike -penetrationstestværktøjet af cyberkriminelle
Cobalt Strike og Metasploit tegnede sig for en fjerdedel af alle malware C & amp; C -servere i 2020 < Dette store ransomware -angreb blev afværget i sidste øjeblik. Sådan opdagede de det
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Security TV Data Management CXO Data Centers 