Informatique

Les cybercriminels recréent Cobalt Strike sous Linux

Les cybercriminels recréent Cobalt Strike sous Linux


Une réimplémentation de Cobalt Strike a été « écrite de toutes pièces » pour attaquer les systèmes Linux.


Baptisée Vermilion Strike, cette nouvelle variante reprend les fonctionnalités de Cobalt Strike, notamment son protocole de commande et de contrôle (C2), sa fonctionnalité d’accès à distance et sa capacité à exécuter des instructions shell selon ses créateurs.


Cobalt Strike est un outil légitime de test d’intrusion pour les systèmes Windows. Sorti en 2012, l’outil a été constamment exploité par des acteurs malveillants, notamment des groupes sophistiqués (APT) tels que Cozy Bear et dans des campagnes visant à diffuser Trickbot et le cheval de Troie bancaire Qbot/Qakbot.


Le code source de la version 4.0 de Cobalt Strike aurait fait l’objet d’une fuite en ligne, mais la plupart des acteurs malveillants suivis par les équipes de cybersécurité semblent s’appuyer sur des copies pirates ou piratées du logiciel.


Jusqu’à présent, du moins.


En août, Intezer a découvert une nouvelle implémentation ELF de la balise Cobalt Strike, qui semble provenir de Malaisie.


Lorsque les chercheurs ont signalé Vermilion Strike, il n’était pas été détecté comme logiciel malveillant sur VirusTotal. (Toutefois, à l’heure où nous écrivons ces lignes, 24 éditeurs d’antivirus ont détectent désormais la menace).


Construit sur une distribution Red Hat Linux, le logiciel malveillant est capable de lancer des balises, de lister des fichiers, de modifier et de retirer des répertoires de travail, d’ajouter et d’écrire dans des fichiers, de télécharger des données vers son serveur de commande, d’exécuter des commandes via la fonction popen et d’analyser des partitions de disque.


Bien qu’ils soient capables d’attaquer les versions Linux, des échantillons Windows ont également été découverts utilisant le même serveur de contrôle et proposant les mêmes fonctionnalités.


Les chercheurs ont collaboré avec McAfee Enterprise ATR pour examiner le logiciel et sont parvenus à la conclusion que Vermilion Strike est utilisé dans des attaques ciblées contre des organisations de télécommunications, gouvernementales, informatiques, de conseil et financières dans le monde entier.


« La sophistication de ce groupe, son intention de mener des activités d’espionnage et le fait que le code n’a pas été vu auparavant dans d’autres attaques, ainsi que le fait qu’il cible des entités spécifiques, nous amènent à penser que cet outil a été développé par un groupe compétent », déclare Intezer.


Ce n’est pas le seul portage non officiel de Cobalt Strike, cependant. Il existe également geacon, un projet open source basé sur le langage de programmation Golang.


Source : « ZDNet.com »




Source link

Articles similaires

Bouton retour en haut de la page