Een her-implementatie van Cobalt Strike is “van de grond af geschreven” om Linux-systemen aan te vallen.
Nagesynchroniseerde Vermilion Strike, zei Intezer dinsdag dat de nieuwe variant leunt op Cobalt Strike-functionaliteit, inclusief het command-and-control (C2) -protocol, de functionaliteit voor externe toegang en de mogelijkheid om shell-instructies uit te voeren.
Cobalt Strike is een legitiem hulpmiddel voor het testen van penetratie voor Windows-systemen. De tool, die in 2012 werd uitgebracht, is voortdurend misbruikt door bedreigingsactoren, waaronder APT-groepen (Advanced Persistent Threat) zoals Cozy Bear en campagnes die zijn ontworpen om Trickbot en de Qbot/Qakbot banking-trojan te verspreiden.
De broncode van Cobalt Strike voor versie 4.0 zou online zijn gelekt, maar de meeste bedreigingsactoren die door cyberbeveiligingsteams worden gevolgd, lijken te vertrouwen op piraten en gekraakte kopieën van de software.
Tot nu toe tenminste.
In augustus ontdekte Intezer de nieuwe ELF-implementatie van het baken van Cobalt Strike, dat afkomstig lijkt te zijn uit Maleisië.
Toen de onderzoekers Vermilion Strike rapporteerden, bleef het op VirusTotal onopgemerkt als kwaadaardige software. (Op het moment van schrijven hebben echter 24 antivirusleveranciers de dreiging geregistreerd.)
Gebouwd op een Red Hat Linux-distributie, kan de malware beacons starten, bestanden weergeven, werkmappen wijzigen en ophalen, bestanden toevoegen en schrijven, gegevens uploaden naar de C2, opdrachten uitvoeren via de popen-functie en schijfpartities analyseren.
Hoewel ze Linux-builds kunnen aanvallen, zijn er ook Windows-voorbeelden gevonden die dezelfde C2-server gebruiken en dezelfde functionaliteit bevatten.
De onderzoekers werkten samen met McAfee Enterprise ATR om de software te onderzoeken en zijn tot de conclusie gekomen dat Vermilion Strike wordt gebruikt bij gerichte aanvallen op telecom-, overheids-, IT-, advies- en financiële organisaties wereldwijd.
“De verfijning van deze dreiging, de bedoeling om spionage uit te voeren en het feit dat de code nog niet eerder is gezien bij andere aanvallen, samen met het feit dat deze zich richt op specifieke entiteiten in het wild, leidt ons om te geloven dat deze dreiging is ontwikkeld door een ervaren dreigingsactor”, zegt Intezer.
Dit is echter niet de enige onofficiële haven van Cobalt Strike. Er is ook geacon, een open source-project gebaseerd op de programmeertaal Golang.
Eerdere en gerelateerde berichtgeving
Dit is hoe de Cobalt Strike-penetratietesttool wordt misbruikt door cybercriminelen
Cobalt Strike en Metasploit waren goed voor een kwart van alle malware C&C-servers in 2020< br> Deze grote ransomware-aanval werd op het laatste moment verijdeld. Dit is hoe ze het hebben gezien
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 