Маячок Cobalt Strike портирован на Linux, используется в атаках

Маячок Cobalt Strike портирован на Linux, используется в атаках

При разборе недавних целевых атак эксперты израильской ИБ-компании Intezer обнаружили Linux-версию Cobalt Strike Beacon. Находка, пока плохо детектируемая антивирусами, получила условное название Vermilion Strike.

Данные телеметрии показали, что злоумышленники взяли этот бэкдор на вооружение в прошлом месяце. Он был замечен в точечных атаках против госструктур, телеком-провайдеров, ИТ-компаний и финансовых институтов разных стран. Исследование выявило также созданные с нуля образцы Windows-версии Cobalt Strike Beacon, привязанные к тому же C2-серверу.

Анализ показал, что Vermilion Strike ориентирован на дистрибутивы Linux, использующие базовый код Red Hat. По функциональности зловред схож с исходным маячком: работает в фоновом режиме, обеспечивая оператору удаленный доступ, и способен выполнять шелл-команды, получать доступ к файлам на запись, а также выгружать произвольные файлы на свой сервер.

Первый сэмпл Vermilion Strike был загружен на VirusTotal 10 августа из Малайзии. На тот момент эту угрозу не смог распознать ни один антивирус на сервисе. По состоянию на 14 сентября его детектят 14 из 59 сканеров в коллекции.

Код Windows-версии маячка Cobalt Strike был переписан, видимо, с той же целью — уберечь инструмент атаки от обнаружения. Тулкит, в состав которого он входит, вполне легитимен; специалисты по ИБ обычно используют его для оценки защищенности ИТ-инфраструктуры.

Маячок же (beacon) при этом устанавливается в системы, чтобы сымитировать действия гипотетического злоумышленника после проникновения в сеть. Официальной Linux-версии Cobalt Strike Beacon не существует, он ориентирован на Windows-окружение.

К сожалению, киберкриминал тоже оценил по достоинству возможности Cobalt Strike. Последние годы этот набор инструментов зачастую используется для внедрения в сети программ-шифровальщиков, и антивирусы уже научились опознавать такую полезную нагрузку.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Роскомнадзор готовится запустить ИИ-систему поиска запрещённого контента

Роскомнадзор в скором времени может запустить усовершенствованную систему поиска незаконного контента в Сети, в основу которой ляжет искусственный интеллект (ИИ). Система, получившая имя «Окулус», должна повысить эффективность обнаружения экстремистских и порнографических материалов в изображениях и видео.

Разработкой «Окулус» будет заниматься Главный радиочастотный центр (ГРЧЦ), который в настоящее время подведомственен РКН. Эксперты же опасаются, что введение систему в эксплуатацию может замедлить работу веб-ресурсов.

Согласно информации, которую сотрудники издания «КоммерсантЪ» нашли на портале госзакупок, «Окулус» планируют запустить в 2022 году. Стоимость опубликованного ГРЧЦ тендера на разработку технического задания составила 15 миллионов рублей.

Системе доверят задачу выявления следующего контента: пропаганда наркотиков, порнография, экстремистские материалы, призывы к самоубийству и массовым беспорядкам. Ранее этот поиск в изображениях и видеозаписях происходил вручную, а в следующем году этим уже будет заниматься «Окулус». Ожидается, что работы завершат до 17 декабря.

Аналитики считают, что контент в текстовом виде значительно уступает фото- и видеоматериалам по воздействию на сознание пользователей Сети. Поэтому «Окулус» будет решать проблему постинга противоправных изображений и видеозаписей, которые могут потенциально навредить подросткам.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru