هدفگیری سازمان های سراسر جهان با پیاده سازی لینوکس Cobalt Strike Beacon

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir linux implementation of cobalt strike beacon targeting organizations worldwide 1

محققان روز دوشنبه از فعالیت مجدد Cobalt Strike Beacon در سیستم‌های لینوکس و ویندوز که به طور جدی چشم به نفوذ و حمله به دولت‌ها، سیستم مخابرات، فناوری اطلاعات و موسسات مالی در فضای سایبری دوخته است، خبر دادند.

نسخه هنوز تشخیص داده نشده از ابزار تست نفوذ (با اسم رمز "Vermilion Strike")، یکی از پورت‌های کمیاب لینوکس را نشان می‌دهد، که به طور همیشگی ابزاری مبتنی بر ویندوز برای red team بوده است که توسط مهاجمان بسیار مورد استفاده قرار گرفته است تا مجموعه‌ای از حملات هدفمند را انجام دهد. Cobalt Strike خود را به عنوان یک "نرم‌افزار شبیه‌سازی تهدید" اعلام می‌کند، از سویی Beacon، در واقع payload‌ی است که برای مدل‌سازی عامل پیشرفته و تکرار اقدامات پس از بهره‌برداری طراحی شده است.

محققان Intezer در گزارشی که امروز منتشر شد، گفتند: "نمونه مخفی از پروتکل command-and-control (C۲) Cobalt Strike هنگام ارتباط با سرور C۲ استفاده می‌کند و دارای قابلیت دسترسی از راه دور مانند بارگذاری فایل‌ها، اجرای دستورات shell و تغییرات روی فایل‌ها است".

یافته‌های این شرکت امنیت سایبری مستقر در فلسطین اشغالی از داده‌های مصنوعی و ساختگی بارگذاری شده در VirusTotal در ۱۰ آگوست از مالزی نشات می‌گیرد. هنگام نوشتن داده‌ها، فقط دو موتور ضد بدافزار فایل را تحت عنوان فایل مخرب علامت‌گذاری کرده‌اند.

takian.ir linux implementation of cobalt strike beacon targeting organizations worldwide 2
پس از نصب، بدافزار خود را در پس زمینه اجرا کرده و پیکربندی لازم برای عملکرد beacon را رمزگشایی می‌نماید. قبل از اسکن امنیتی دستگاه لینوکس آسیب دیده و برقراری ارتباط با یک سرور از راه دور از طریق DNS یا HTTP برای بازیابی دستورالعمل‌های کدگذاری شده ۶۴۶۴ و رمزگذاری شده با AES که اجازه اجرای دستورات دلخواه را می‌دهد، فایل‌ها را تغییر داده و آن‌ها را دوباره در سرور بارگذاری می‌کند.

جالب اینجاست که نمونه‌های دیکر شناسایی شده در طول تحقیقات، نوع بدافزار ویندوز را مشخص کرده و معلوم شده است که در عملکرد‌ها و دامنه‌های C۲ که برای کنترل از راه دور میزبان استفاده می‌شود، همپوشانی دارد. Intezer همچنین دامنه محدود کمپین جاسوسی را مورد اشاره قرار داد و اعلام کرد که از بدافزار در حملات خاص برخلاف نفوذ در مقیاس بزرگ استفاده می‌شود و در عین حال به دلیل عدم مشاهده Vermilion Strike در حملات دیگر تا به امروز، از آن با "عامل تهدید ماهر" یاد کرد.

این اولین بار نیست که از ابزار تست امنیت قانونی برای سازماندهی حملات علیه طیف وسیعی از اهداف استفاده می‌شود. ماه گذشته، شرکت امنیتی آمریکایی Secureworks یک کمپین فیشینگ توزیع شونده را که توسط گروه تهدید با نام Tin Woodlawn (با نام مستعار APT۳۲ یا OceanLotus) انجام شد را اعلام عمومی کرد و مشخص کرد که آن‌ها از نسخه سفارشی شده و پیشرفته Cobalt Strike برای فرار از اقدامات متقابل امنیتی در تلاش برای سرقت مالکیت معنوی و اسرار تجارت بهره‌برداری می‌کرده‌اند.

محققان می‌گویند: "Vermilion Strike و سایر تهدید‌های لینوکس همچنان تهدیدی ثابت و پابرجا هستند. غلبه سرور‌های لینوکس در فضای ابری و افزایش گستردگی مداوم آن، APT‌ها را فرامیخواندتا مجموعه ابزار‌های خود را به منظور حرکت و پیشرفت در محیط موجود تغییر و ارتقا دهند″.

برچسب ها: Secureworks, APT32, OceanLotus, Tin Woodlawn, Intezer, Vermilion Strike, Beacon, Cobalt Strike Beacon, Cobalt Strike, Virustotal, Linux, HTTP, cybersecurity, DNS, windows, malware, فیشینگ, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ