Blog

Un actor de amenazas transfiere la baliza de Cobalt Strike a Linux para realizar ataques

Actualmente existe una versión no oficial de Cobalt Strike Beacon Linux, pero desarrollada por un actor de amenazas desde cero y ha sido descubierta por los investigadores de ciberseguridad, Intezer. Se sospecha a grandes rasgos que esta versión de Cobalt Strike esta siendo usada por diferentes actores de amenazas y en múltiples ataques en todo el mundo.

La herramienta de RedTeam Cobalt Strike es muy utilizado por los diferentes actores de amenazas (comúnmente por afiliados de bandas de ransomwares) para las tareas de post-explotación y después desplegar los llamados beacons, que proporcionan acceso remoto persistente a los dispositivos comprometidos. Mediante las balizas, los atacantes pueden acceder posteriormente a los servidores vulnerados para recoger datos o desplegar más payloads de malwares.

Con el pasar del tiempo, los actores de las amenazas han obtenido y compartido copias crackeadas de Cobalt Strike, convirtiéndose en una de las herramientas más comunes utilizadas en los ciberataques que conducen al robo de datos y al ciberespionaje. Sin embargo, Cobalt Strike siempre ha tenido un punto débil; sólo es compatible con dispositivos Windows y no incluye beacons para Linux. Con el nombre código de «Vermilion«, el actor de amenazas modificó una versión de Cobalt Strike para hacerla compatible con Linux.

En un nuevo informe publicado por la empresa de seguridad Intezer, los investigadores explican cómo los actores de amenazas se han encargado de crear sus balizas para Linux compatibles con Cobalt Strike. Utilizando estas balizas, los actores de amenazas pueden ahora obtener persistencia y ejecución de comandos remotos tanto en máquinas Windows como Linux.

Vermilion Strike puede realizar las siguientes tareas una vez desplegado en un sistema Linux:

  • Cambiar el directorio de trabajo.
  • Obtener el directorio de trabajo actual.
  • Añadir/escribir en el archivo.
  • Cargar el archivo en el C2.
  • Ejecutar un comando a través de popen.
  • Obtener las particiones del disco.
  • Listar archivos.

«El malware no ha sido detectado por completo en VirusTotal en el momento de escribir este artículo y se cargó desde Malasia» según Intezer.

Utilizando los datos de telemetría proporcionados por McAfee, Intezer también encontró múltiples organizamos dirigidos usando Vermilion Strike desde agosto de 2021, teniendo como objetivo las industrias que van desde las empresas de telecomunicaciones y agencias gubernamentales, instituciones financieras y empresas de asesoramiento en todo el mundo.

IOCs:

ELF

  • 294b8db1f2702b60fb2e42fdc50c2cee6a5046112da9a5703a548a4fa50477bc

PE

Stager

  • 3ad119d4f2f1d8ce3851181120a292f41189e4417ad20a6c86b6f45f6a9fbcfc

Beacon

  • 7129434afc1fec276525acfeee5bb08923ccd9b32269638a54c7b452f5493492
  • c49631db0b2e41125ccade68a0fe7fb70939315f1c580510e40e5b30ead868f5
  • 07b815cee2b85a41820cd8157a68f35aa1ed0aa5f4093b8cb79a1d645a16273f
  • e40370f463b4a4feb2d515a3fb64af1573523f03917b2fd9e7a9d0a741ef89a5

C2

  • 160.202.163.100
  • update.microsofthk[.]com
  • update.microsoftkernel[.]com
  • amazon.hksupd[.]com

Más información:

https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/

https://therecord.media/threat-actor-ports-cobalt-strike-beacon-to-linux-uses-it-in-attacks/

Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad