9月13日，安全研究人員發(fā)現(xiàn)了一個由未知黑客組織制作的Cobalt Strike Beacon Linux版本，以在全球范圍內(nèi)擴大目標(biāo)攻擊。這些攻擊針對的是電信公司、政府機構(gòu)、IT公司、金融機構(gòu)和咨詢公司。

代號為Vermilion的威脅行為者修改了Cobalt Strike的一個版本 ，Cobalt Strike是一種合法的滲透測試工具，被用作紅隊的攻擊框架。

[[424604]]

Cobalt Strike還被威脅行為者(通常在勒索軟件攻擊中刪除)用于部署所謂的信標(biāo)后的后利用任務(wù)，這些信標(biāo)提供對受感染設(shè)備的持久遠(yuǎn)程訪問。使用信標(biāo)，攻擊者可以晚些訪問被破壞的服務(wù)器以收集數(shù)據(jù)或部署更多的惡意軟件負(fù)載。

雖然開發(fā)該工具是為了幫助安全公司進行滲透測試，模擬威脅參與者使用的技術(shù)，但該工具的高級功能也使其成為網(wǎng)絡(luò)犯罪組織的最愛。

隨著時間的推移，Cobalt Strike的破解副本已被威脅行為者獲取并共享，成為數(shù)據(jù)盜竊和勒索軟件的網(wǎng)絡(luò)攻擊中最常用的工具之一。但此前Cobalt Strike 一直有一個弱點，它只支持Windows設(shè)備，不包括Linux信標(biāo)。

Cobalt Strike Beacon移植到Linux

在安全公司Intezer的一份新報告中，研究人員解釋了威脅行為者如何自行創(chuàng)建與 Cobalt Strike兼容的Linux信標(biāo)。使用這些信標(biāo)，攻擊者現(xiàn)在可以在Windows和Linux機器上獲得持久性和遠(yuǎn)程命令執(zhí)行。

研究人員表示，為了避免惡意軟件被檢測到，Vermilion組織開發(fā)了Vermilion Strike，這是Cobalt Strike Beacon后門的獨一無二的Linux版本。此外，該組織還重新編寫了Beacon后門的原始Windows 版本，目前完全未被殺毒軟件檢測到。

Vermilion Strike帶有與官方Windows 信標(biāo)相同的配置格式，可以與所有Cobalt Strike 服務(wù)器對話，但不使用任何Cobalt Strike的代碼。

這種新的Linux惡意軟件還具有技術(shù)上的重疊(相同的功能和命令和控制服務(wù)器)，Windows DLL文件提示同一個開發(fā)人員。

Intezer說:“隱形樣本在與C2服務(wù)器通信時使用了Cobalt Strike的命令和控制(C2)協(xié)議，并具有遠(yuǎn)程訪問功能，如上傳文件、運行shell命令和寫入文件。”

在發(fā)文時，病毒查殺工具中完全沒有檢測到該惡意軟件，該惡意軟件是從馬來西亞上傳的。

Vermilion Strike一旦部署在受感染的Linux系統(tǒng)上就可以執(zhí)行以下任務(wù)：

• 更改工作目錄
• 獲取當(dāng)前工作目錄
• 附加/寫入文件
• 上傳文件到C2
• 通過 popen 執(zhí)行命令
• 獲取磁盤分區(qū)
• 列出文件

自8月以來部署在持續(xù)攻擊中

通過數(shù)據(jù)監(jiān)測，Intezer還發(fā)現(xiàn)自2021年8月以來，來自全球電信公司和政府機構(gòu)、IT 公司、金融機構(gòu)和咨詢公司等各個行業(yè)的多個組織成為使用Vermilion Strike目標(biāo)。

還值得一提的是，Vermilion Strike并不是唯一一個將Cobalt Strike的Beacon移植到Linux的端口，它使用了geacon，一個基于go的開源實現(xiàn)，在過去的兩年中已經(jīng)公開。

然而，這是第一個用于真正攻擊的Linux實現(xiàn)。目前沒有關(guān)于攻擊者用來針對Linux系統(tǒng)的初始攻擊向量的信息。但通過對其復(fù)雜性和活動意圖以及該代碼從未在其他攻擊中出現(xiàn)這些情況進行分析，這種惡意軟件是由熟練的威脅行為者開發(fā)的。

通過對勒索事件的分析可以發(fā)現(xiàn)，這些勒索軟件不但一直在更新技術(shù)能力，而且對實體造成的破壞嚴(yán)重超出公眾認(rèn)知，每個行業(yè)對于勒索軟件攻擊都不應(yīng)存在僥幸心理。

參讀鏈接：

• https://www.bleepingcomputer.com/
• https://therecord