Los investigadores completaron el lunes una reimplementación recién descubierta de Cobalt Strike Beacon para Linux y Windows, que apunta activamente a instituciones gubernamentales, de telecomunicaciones, de tecnología de la información y financieras en la naturaleza.

La versión aún no descubierta de la herramienta de prueba de penetración, cuyo nombre en código es «Vermilion Strike», se refiere a uno de los pocos puertos de Linux que tradicionalmente ha sido una herramienta de equipo roja basada en Windows, fuertemente rediseñada por enemigos para crear una serie de ataques dirigidos. . Cobalt Strike se presenta como un «software de emulación de amenazas», siendo Beacon una carga útil diseñada para modelar actores avanzados y duplicar sus acciones después de la explotación.

«La muestra secreta utiliza el Protocolo de control y comando Cobalt Strike (C2) para comunicarse con el servidor C2 y tiene funciones de acceso remoto, como cargar archivos, ejecutar comandos de shell y escribir en archivos», dijeron los investigadores de Intezer en un informe publicado hoy. compartido con The Hacker News.

Los hallazgos de la compañía de seguridad cibernética israelí provienen de un artefacto subido a VirusTotal el 10 de agosto desde Malasia. En el momento de escribir este artículo, solo dos motores antimalware marcan un archivo como malicioso.

Después de la instalación, el malware se ejecuta en segundo plano y descifra la configuración necesaria para que funcione la baliza, luego toma las huellas digitales de la máquina Linux comprometida y establece comunicación con el servidor remoto a través de DNS o HTTP para obtener instrucciones codificadas en base64 y AES que permiten ejecutar cualquier comando. ejecuta los archivos y envía los archivos de vuelta al servidor.

Curiosamente, otras muestras identificadas durante la investigación arrojaron luz sobre la variante de malware de Windows, compartiendo superposiciones en la funcionalidad y los dominios C2 utilizados para controlar hosts de forma remota. El integrador también señaló el alcance limitado de la campaña de espionaje, señalando que el malware se usa en ataques específicos en lugar de intrusiones a gran escala, y lo atribuye a un «jugador de amenazas calificado» debido al hecho de que Vermilion Strike no se observó en otros. ataques hasta la fecha.

Esta no es la primera vez que se utiliza un conjunto legítimo de herramientas de prueba de seguridad para organizar ataques contra una amplia gama de objetivos. El mes pasado, la firma de seguridad estadounidense Secureworks detalló una campaña de phishing dirigido por un grupo de amenazas rastreadas por Tin Woodlawn (también conocido como APT32 o OceanLotus), que usó una versión modificada y mejorada de Cobalt Strike para evadir contramedidas de seguridad para robar propiedad intelectual y secretos comerciales. .

«Vermilion Strike y otras amenazas de Linux siguen siendo una amenaza constante. El predominio de los servidores Linux en la nube y su continuo aumento invita a APT a adaptar sus herramientas para navegar en su entorno actual», dijeron los investigadores.