Una reimplementazione di Cobalt Strike è stata “scritta da zero” per attaccare i sistemi Linux.
Soprannominato Vermilion Strike, Intezer ha dichiarato martedì che la nuova variazione si basa sulla funzionalità Cobalt Strike, incluso il suo protocollo di comando e controllo (C2), la sua funzionalità di accesso remoto e la sua capacità di eseguire istruzioni shell.
Cobalt Strike è uno strumento di test di penetrazione legittimo per i sistemi Windows. Rilasciato nel 2012, lo strumento è stato costantemente abusato da attori delle minacce, inclusi gruppi di minacce persistenti avanzate (APT) come Cozy Bear e campagne progettate per diffondere Trickbot e il Trojan bancario Qbot/Qakbot.
Il codice sorgente di Cobalt Strike per la versione 4.0 sarebbe stato trapelato online, tuttavia, la maggior parte degli attori delle minacce monitorati dai team di sicurezza informatica sembrano fare affidamento su copie pirata e craccate del software.
Finora almeno.
Ad agosto, Intezer ha scoperto la nuova implementazione ELF del faro di Cobalt Strike, che sembra provenire dalla Malesia.
Quando i ricercatori hanno segnalato Vermilion Strike, non è stato rilevato su VirusTotal come software dannoso. (Tuttavia, al momento in cui scriviamo, 24 fornitori di antivirus hanno registrato la minaccia.)
Costruito su una distribuzione Red Hat Linux, il malware è in grado di lanciare beacon, elencare file, cambiare ed estrarre directory di lavoro, aggiungere e scrivere file, caricare dati sul suo C2, eseguire comandi tramite la funzione popen e analizzare le partizioni del disco.
Pur essendo in grado di attaccare le build Linux, sono stati trovati anche esempi di Windows che utilizzano lo stesso server C2 e contengono le stesse funzionalità.
I ricercatori hanno collaborato con McAfee Enterprise ATR per esaminare il software e sono giunti alla conclusione che Vermilion Strike viene utilizzato in attacchi mirati contro organizzazioni di telecomunicazioni, governo, IT, consulenza e finanziarie in tutto il mondo.
“La sofisticatezza di questa minaccia, il suo intento di condurre attività di spionaggio e il fatto che il codice non sia mai stato visto prima in altri attacchi, insieme al fatto che prende di mira entità specifiche in natura, porta farci credere che questa minaccia sia stata sviluppata da un abile attore di minacce”, afferma Intezer.
Tuttavia, questo non è l'unico porto non ufficiale di Cobalt Strike. C'è anche geacon, un progetto open source basato sul linguaggio di programmazione Golang.
Copertura precedente e correlata
Ecco come lo strumento di test di penetrazione Cobalt Strike viene abusato dai criminali informatici
Cobalt Strike e Metasploit hanno rappresentato un quarto di tutti i server C&C di malware nel 2020< br> Questo grave attacco ransomware è stato sventato all'ultimo minuto. Ecco come l'hanno individuato
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Security TV Data Management CXO Data Center 