Actualmente existe una versión no oficial de Cobalt Strike Beacon Linux, pero desarrollada por un actor de amenazas desde cero y ha sido descubierta por los investigadores de ciberseguridad, Intezer. Se sospecha a grandes rasgos que esta versión de Cobalt Strike esta siendo usada por diferentes actores de amenazas y en múltiples ataques en todo el mundo.
La herramienta de RedTeam Cobalt Strike es muy utilizado por los diferentes actores de amenazas (comúnmente por afiliados de bandas de ransomwares) para las tareas de post-explotación y después desplegar los llamados beacons, que proporcionan acceso remoto persistente a los dispositivos comprometidos. Mediante las balizas, los atacantes pueden acceder posteriormente a los servidores vulnerados para recoger datos o desplegar más payloads de malwares.
Con el pasar del tiempo, los actores de las amenazas han obtenido y compartido copias crackeadas de Cobalt Strike, convirtiéndose en una de las herramientas más comunes utilizadas en los ciberataques que conducen al robo de datos y al ciberespionaje. Sin embargo, Cobalt Strike siempre ha tenido un punto débil; sólo es compatible con dispositivos Windows y no incluye beacons para Linux. Con el nombre código de «Vermilion«, el actor de amenazas modificó una versión de Cobalt Strike para hacerla compatible con Linux.
En un nuevo informe publicado por la empresa de seguridad Intezer, los investigadores explican cómo los actores de amenazas se han encargado de crear sus balizas para Linux compatibles con Cobalt Strike. Utilizando estas balizas, los actores de amenazas pueden ahora obtener persistencia y ejecución de comandos remotos tanto en máquinas Windows como Linux.
Vermilion Strike puede realizar las siguientes tareas una vez desplegado en un sistema Linux:
- Cambiar el directorio de trabajo.
- Obtener el directorio de trabajo actual.
- Añadir/escribir en el archivo.
- Cargar el archivo en el C2.
- Ejecutar un comando a través de popen.
- Obtener las particiones del disco.
- Listar archivos.
«El malware no ha sido detectado por completo en VirusTotal en el momento de escribir este artículo y se cargó desde Malasia» según Intezer.
Utilizando los datos de telemetría proporcionados por McAfee, Intezer también encontró múltiples organizamos dirigidos usando Vermilion Strike desde agosto de 2021, teniendo como objetivo las industrias que van desde las empresas de telecomunicaciones y agencias gubernamentales, instituciones financieras y empresas de asesoramiento en todo el mundo.
IOCs:
ELF
- 294b8db1f2702b60fb2e42fdc50c2cee6a5046112da9a5703a548a4fa50477bc
PE
Stager
- 3ad119d4f2f1d8ce3851181120a292f41189e4417ad20a6c86b6f45f6a9fbcfc
Beacon
- 7129434afc1fec276525acfeee5bb08923ccd9b32269638a54c7b452f5493492
- c49631db0b2e41125ccade68a0fe7fb70939315f1c580510e40e5b30ead868f5
- 07b815cee2b85a41820cd8157a68f35aa1ed0aa5f4093b8cb79a1d645a16273f
- e40370f463b4a4feb2d515a3fb64af1573523f03917b2fd9e7a9d0a741ef89a5
C2
- 160.202.163.100
- update.microsofthk[.]com
- update.microsoftkernel[.]com
- amazon.hksupd[.]com
Más información:
https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/
https://therecord.media/threat-actor-ports-cobalt-strike-beacon-to-linux-uses-it-in-attacks/
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
