瞄準Linux系統(tǒng)！攻擊者改造滲透測試工具Cobalt Strike兼容Linux信標

9月13日，安全研究人員發(fā)現(xiàn)了一個由未知黑客組織制作的Cobalt Strike Beacon Linux版本，以在全球范圍內(nèi)擴大目標攻擊。這些攻擊針對的是電信公司、政府機構(gòu)、IT公司、金融機構(gòu)和咨詢公司。
代號為Vermilion的威脅行為者修改了Cobalt Strike的一個版本 ，Cobalt Strike是一種合法的滲透測試工具，被用作紅隊的攻擊框架。
Cobalt Strike還被威脅行為者(通常在勒索軟件攻擊中刪除)用于部署所謂的信標后的后利用任務，這些信標提供對受感染設備的持久遠程訪問。使用信標，攻擊者可以晚些訪問被破壞的服務器以收集數(shù)據(jù)或部署更多的惡意軟件負載。
雖然開發(fā)該工具是為了幫助安全公司進行滲透測試，模擬威脅參與者使用的技術，但該工具的高級功能也使其成為網(wǎng)絡犯罪組織的最愛。
隨著時間的推移，Cobalt Strike的破解副本已被威脅行為者獲取并共享，成為數(shù)據(jù)盜竊和勒索軟件的網(wǎng)絡攻擊中最常用的工具之一。但此前Cobalt Strike 一直有一個弱點，它只支持Windows設備，不包括Linux信標。
Cobalt Strike Beacon移植到Linux
在安全公司Intezer的一份新報告中，研究人員解釋了威脅行為者如何自行創(chuàng)建與 Cobalt Strike兼容的Linux信標。使用這些信標，攻擊者現(xiàn)在可以在Windows和Linux機器上獲得持久性和遠程命令執(zhí)行。
研究人員表示，為了避免惡意軟件被檢測到，Vermilion組織開發(fā)了Vermilion Strike，這是Cobalt Strike Beacon后門的獨一無二的Linux版本。此外，該組織還重新編寫了Beacon后門的原始Windows 版本，目前完全未被殺毒軟件檢測到。
Vermilion Strike帶有與官方Windows 信標相同的配置格式，可以與所有Cobalt Strike 服務器對話，但不使用任何Cobalt Strike的代碼。這種新的Linux惡意軟件還具有技術上的重疊(相同的功能和命令和控制服務器)，Windows DLL文件提示同一個開發(fā)人員。
文章轉(zhuǎn)載自FreeBuf