Blog

Un actor de amenazas transfiere la baliza de Cobalt Strike a Linux para realizar ataques

Actualmente existe una versión no oficial de Cobalt Strike Beacon Linux, pero desarrollada por un actor de amenazas desde cero y ha sido descubierta por los investigadores de ciberseguridad, Intezer. Se sospecha a grandes rasgos que esta versión de Cobalt Strike esta siendo usada por diferentes actores de amenazas y en múltiples ataques en todo el mundo.

La herramienta de RedTeam Cobalt Strike es muy utilizado por los diferentes actores de amenazas (comúnmente por afiliados de bandas de ransomwares) para las tareas de post-explotación y después desplegar los llamados beacons, que proporcionan acceso remoto persistente a los dispositivos comprometidos. Mediante las balizas, los atacantes pueden acceder posteriormente a los servidores vulnerados para recoger datos o desplegar más payloads de malwares.

Con el pasar del tiempo, los actores de las amenazas han obtenido y compartido copias crackeadas de Cobalt Strike, convirtiéndose en una de las herramientas más comunes utilizadas en los ciberataques que conducen al robo de datos y al ciberespionaje. Sin embargo, Cobalt Strike siempre ha tenido un punto débil; sólo es compatible con dispositivos Windows y no incluye beacons para Linux. Con el nombre código de «Vermilion«, el actor de amenazas modificó una versión de Cobalt Strike para hacerla compatible con Linux.

En un nuevo informe publicado por la empresa de seguridad Intezer, los investigadores explican cómo los actores de amenazas se han encargado de crear sus balizas para Linux compatibles con Cobalt Strike. Utilizando estas balizas, los actores de amenazas pueden ahora obtener persistencia y ejecución de comandos remotos tanto en máquinas Windows como Linux.

Vermilion Strike puede realizar las siguientes tareas una vez desplegado en un sistema Linux:

  • Cambiar el directorio de trabajo.
  • Obtener el directorio de trabajo actual.
  • Añadir/escribir en el archivo.
  • Cargar el archivo en el C2.
  • Ejecutar un comando a través de popen.
  • Obtener las particiones del disco.
  • Listar archivos.

«El malware no ha sido detectado por completo en VirusTotal en el momento de escribir este artículo y se cargó desde Malasia» según Intezer.

Utilizando los datos de telemetría proporcionados por McAfee, Intezer también encontró múltiples organizamos dirigidos usando Vermilion Strike desde agosto de 2021, teniendo como objetivo las industrias que van desde las empresas de telecomunicaciones y agencias gubernamentales, instituciones financieras y empresas de asesoramiento en todo el mundo.

IOCs:

ELF

  • 294b8db1f2702b60fb2e42fdc50c2cee6a5046112da9a5703a548a4fa50477bc

PE

Stager

  • 3ad119d4f2f1d8ce3851181120a292f41189e4417ad20a6c86b6f45f6a9fbcfc

Beacon

  • 7129434afc1fec276525acfeee5bb08923ccd9b32269638a54c7b452f5493492
  • c49631db0b2e41125ccade68a0fe7fb70939315f1c580510e40e5b30ead868f5
  • 07b815cee2b85a41820cd8157a68f35aa1ed0aa5f4093b8cb79a1d645a16273f
  • e40370f463b4a4feb2d515a3fb64af1573523f03917b2fd9e7a9d0a741ef89a5

C2

  • 160.202.163.100
  • update.microsofthk[.]com
  • update.microsoftkernel[.]com
  • amazon.hksupd[.]com

Más información:

https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/

https://therecord.media/threat-actor-ports-cobalt-strike-beacon-to-linux-uses-it-in-attacks/

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

No dejes tu seguridad para después.

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required