9月13日,安全研究人員發現了一個由未知黑客組織制作的Cobalt Strike Beacon Linux版本,以在全球范圍內擴大目標攻擊。這些攻擊針對的是電信公司、政府機構、IT公司、金融機構和咨詢公司。
代號為Vermilion的威脅行為者修改了Cobalt Strike的一個版本 ,Cobalt Strike是一種合法的滲透測試工具,被用作紅隊的攻擊框架。
Cobalt Strike還被威脅行為者(通常在勒索軟件攻擊中刪除)用于部署所謂的信標后的后利用任務,這些信標提供對受感染設備的持久遠程訪問。使用信標,攻擊者可以晚些訪問被破壞的服務器以收集數據或部署更多的惡意軟件負載。
雖然開發該工具是為了幫助安全公司進行滲透測試,模擬威脅參與者使用的技術,但該工具的高級功能也使其成為網絡犯罪組織的最愛。
隨著時間的推移,Cobalt Strike的破解副本已被威脅行為者獲取并共享,成為數據盜竊和勒索軟件的網絡攻擊中最常用的工具之一。但此前Cobalt Strike 一直有一個弱點,它只支持Windows設備,不包括Linux信標。
Cobalt Strike Beacon移植到Linux
在安全公司Intezer的一份新報告中,研究人員解釋了威脅行為者如何自行創建與 Cobalt Strike兼容的Linux信標。使用這些信標,攻擊者現在可以在Windows和Linux機器上獲得持久性和遠程命令執行。
研究人員表示,為了避免惡意軟件被檢測到,Vermilion組織開發了Vermilion Strike,這是Cobalt Strike Beacon后門的獨一無二的Linux版本。此外,該組織還重新編寫了Beacon后門的原始Windows 版本,目前完全未被殺毒軟件檢測到。
Vermilion Strike帶有與官方Windows 信標相同的配置格式,可以與所有Cobalt Strike 服務器對話,但不使用任何Cobalt Strike的代碼。
這種新的Linux惡意軟件還具有技術上的重疊(相同的功能和命令和控制服務器),Windows DLL文件提示同一個開發人員。
Intezer說:“隱形樣本在與C2服務器通信時使用了Cobalt Strike的命令和控制(C2)協議,并具有遠程訪問功能,如上傳文件、運行shell命令和寫入文件。”
在發文時,病毒查殺工具中完全沒有檢測到該惡意軟件,該惡意軟件是從馬來西亞上傳的。
Vermilion Strike一旦部署在受感染的Linux系統上就可以執行以下任務:
- 更改工作目錄
- 獲取當前工作目錄
- 附加/寫入文件
- 上傳文件到C2
- 通過 popen 執行命令
- 獲取磁盤分區
- 列出文件
自8月以來部署在持續攻擊中
通過數據監測,Intezer還發現自2021年8月以來,來自全球電信公司和政府機構、IT 公司、金融機構和咨詢公司等各個行業的多個組織成為使用Vermilion Strike目標。
還值得一提的是,Vermilion Strike并不是唯一一個將Cobalt Strike的Beacon移植到Linux的端口,它使用了geacon,一個基于go的開源實現,在過去的兩年中已經公開。
然而,這是第一個用于真正攻擊的Linux實現。目前沒有關于攻擊者用來針對Linux系統的初始攻擊向量的信息。但通過對其復雜性和活動意圖以及該代碼從未在其他攻擊中出現這些情況進行分析,這種惡意軟件是由熟練的威脅行為者開發的。
通過對勒索事件的分析可以發現,這些勒索軟件不但一直在更新技術能力,而且對實體造成的破壞嚴重超出公眾認知,每個行業對于勒索軟件攻擊都不應存在僥幸心理。
參讀鏈接:
- https://www.bleepingcomputer.com/
- https://therecord
原文鏈接:https://www.freebuf.com/news/288546.html
