Resmi olmayan bir Kobalt Strike Beacon Linux versiyonu, sıfırdan gelen bilinmeyen tehdit aktörleri tarafından yapılan güvenlik araştırmacıları tarafından aktif olarak kullanırken, dünya çapındaki organizasyonları hedefleyen saldırılarda kullanılmaktadır.
Kobalt Strike, kırmızı ekipler için bir saldırı çerçevesi olarak tasarlanmış meşru bir penetrasyon test aracıdır (güvenlik boşluklarını ve güvenlik açıklarını keşfetmek için kendi org altyapısına saldıranlar olarak hareket eden güvenlik profesyonelleri grupları.)
Kobalt grevi ayrıca, tehlikeye giren cihazlara sürekli uzaktan erişim sağlayan, işten çıkarıldıktan sonra, işten çıkarma sonrası görevler için tehdit aktörleri tarafından (genellikle Ransomware saldırılarına düştü) kullanılır. Beacons kullanarak, saldırganlar daha sonra verileri hasat etmek veya daha fazla kötü amaçlı yazılım yüklerini dağıtmak için ihlal edilen sunuculara erişebilirler.
Zamanla, kobalt grevinin çatlak kopyaları, tehdit aktörleri tarafından elde edildi ve paylaşıldı ve CyberAttack'larda veri hırsızlığı ve fidye yazılımına yol açan en yaygın araçlardan biri haline geldi. Bununla birlikte, Kobalt Grevinde her zaman bir zayıflık geçirmiştir - sadece Windows aygıtlarını destekler ve Linux Beacons içermez.
Güvenlik Firması Intezer tarafından yeni bir raporda, araştırmacılar, tehdit aktörlerinin, kobalt grevi ile uyumlu olan Linux işaretlerini yaratmaları için tehdit aktörlerinin kendilerine nasıl götürdüklerini açıklar. Bu işaretçileri kullanarak, tehdit aktörleri artık hem Windows hem de Linux makinelerinde kalıcılık ve uzaktan kumanda yürütüldü.
İlk önce Ağustos ayında Beacon yeniden uygulanmasını gören ve onu vermilyon grevi olarak adlandırılan Inzerer Araştırmacıları, Kobalt Strike Elf İkili [Virustotal] 'nin, şu anda kötü amaçlı yazılım karşıtı çözümler tarafından tamamen tespit edildiğini söyledi.
Vermilion Strike, resmi Windows işaretiyle aynı yapılandırma biçimiyle birlikte gelir ve tüm kobalt grev sunucuları ile konuşabilir, ancak Kobalt Strike'nin kodunu kullanmaz.
Bu yeni Linux kötü amaçlı yazılım aynı zamanda aynı geliştiriciye işaret eden Windows DLL dosyalarıyla teknik örtüşmeler (aynı işlevsellik ve komut ve kontrol sunucuları) sahiptir.
Inzer C2 sunucusuna iletilirken, gizli numune Kobalt Strike'nin komutunu ve kontrolü (C2) protokolünü kullanır ve dosyaları yüklemek, kabuk komutlarını çalıştırmak ve dosyalara yazmak gibi uzaktan erişim özelliklerine sahiptir. "Dedi.
"Kötü amaçlı yazılım bu yazı sırasında virustotal içinde tamamen tespit edilemez ve Malezya'dan yüklendi."
Vermilion Strike, bir kez uzlaşmış bir Linux sisteminde konuşlandırıldıktan sonra aşağıdaki görevleri gerçekleştirebilir:
McAfee Enterprise ATR tarafından sağlanan telemetri verilerini kullanarak, Intezer ayrıca telekom şirketlerinden ve BT şirketlerine, finansal kurumlardan ve dünya çapındaki danışma şirketlerine, finansal kurumlardan ve danışmanlık şirketlerinden, finansal kurumlardan ve danışma şirketlerinden, finansal kurumlardan ve danışmanlık şirketlerinden, finansal kurumlardan ve danışma şirketlerinden, finansal kurumlardan ve danışma şirketlerinden, Finansal Kurumlar ve Danışma Şirketleri, Finansal Kurumlar ve Danışma Şirketleri, Finansal Kurumlar ve Danışma Şirketleri
Vermilyon grevinin, son iki yıldır halka açık olan açık kaynaklı go bazlı bir uygulamayı olan Geacon olan Cobalt Strike'nin BeaCon'un ilk ya da tek limanı olmadığından bahsetmemeye değer.
Bununla birlikte, Inzerzer BleepingComputer'a söylediği gibi, "Bu, gerçek saldırılar için kullanılan ilk Linux uygulamasıdır." Ne yazık ki, ilk saldırı vektöründe, saldırganların Linux sistemlerini hedeflemek için kullandığı hakkında bilgi yoktur.
"Bu tehdidin karmaşıklığı, casusluk yapma niyeti ve kodun diğer saldırılarda görülmediği gerçeği, vahşi doğadaki özel varlıkları hedeflememiz, bu tehdidin olduğuna inanmamızı sağlar. Intezer, yetenekli bir tehdit oyuncusu tarafından geliştirildi.
Yeni Kobalt Strike Bugs, saldırganların sunucularından yararlanmaya izin veriyor
Sahte DMCA ve DDOS şikayetleri BazaloDer Kötü Amaçlı Yazılımlara yol açar.
Conti Ransomware gelir ve cyberinsiance veri hırsızlığına öncelik verir
EasyWSL, Linux Docker görüntülerini bir Windows 10 WSL dağıtımına dönüştürür
Blackmatter Ransomware'in Linux versiyonu VMware ESXI sunucularını hedefler
Kaynak: Bleeping Computer