Маячок Cobalt Strike портирован на Linux, используется в атаках

Татьяна Никитина 14 Сентября 2021 - 15:28

Таргетированные атаки

...

Маячок Cobalt Strike портирован на Linux, используется в атаках

При разборе недавних целевых атак эксперты израильской ИБ-компании Intezer обнаружили Linux-версию Cobalt Strike Beacon. Находка, пока плохо детектируемая антивирусами, получила условное название Vermilion Strike.

Данные телеметрии показали, что злоумышленники взяли этот бэкдор на вооружение в прошлом месяце. Он был замечен в точечных атаках против госструктур, телеком-провайдеров, ИТ-компаний и финансовых институтов разных стран. Исследование выявило также созданные с нуля образцы Windows-версии Cobalt Strike Beacon, привязанные к тому же C2-серверу.

Анализ показал, что Vermilion Strike ориентирован на дистрибутивы Linux, использующие базовый код Red Hat. По функциональности зловред схож с исходным маячком: работает в фоновом режиме, обеспечивая оператору удаленный доступ, и способен выполнять шелл-команды, получать доступ к файлам на запись, а также выгружать произвольные файлы на свой сервер.

Первый сэмпл Vermilion Strike был загружен на VirusTotal 10 августа из Малайзии. На тот момент эту угрозу не смог распознать ни один антивирус на сервисе. По состоянию на 14 сентября его детектят 14 из 59 сканеров в коллекции.

Код Windows-версии маячка Cobalt Strike был переписан, видимо, с той же целью — уберечь инструмент атаки от обнаружения. Тулкит, в состав которого он входит, вполне легитимен; специалисты по ИБ обычно используют его для оценки защищенности ИТ-инфраструктуры.

Маячок же (beacon) при этом устанавливается в системы, чтобы сымитировать действия гипотетического злоумышленника после проникновения в сеть. Официальной Linux-версии Cobalt Strike Beacon не существует, он ориентирован на Windows-окружение.

К сожалению, киберкриминал тоже оценил по достоинству возможности Cobalt Strike. Последние годы этот набор инструментов зачастую используется для внедрения в сети программ-шифровальщиков, и антивирусы уже научились опознавать такую полезную нагрузку.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 16 Июня 2025 - 13:17

Мошенничество Онлайн-мошенничество Домашние пользователи Лаборатория Касперского

С марта по май — 4 млн атак ботов на продажу билетов онлайн

С марта по май 2025 года специалисты по кибербезопасности зафиксировали более 4 миллионов визитов с признаками ботов на один из крупнейших российских сайтов по продаже транспортных билетов. Как правило, такие автоматические программы используют для массового бронирования или покупки мест.

Подозрительные сессии, на которые указали специалисты «Лаборатории Касперского», блокируются системой в реальном времени. Боты позволяют злоумышленникам отслеживать направления и скупать билеты в автоматическом режиме.

Часто это делается с целью перепродажи — билеты затем появляются у посредников с наценкой. Иногда боты бронируют билеты массово по целым направлениям, создавая видимость дефицита.

В результате обычные пользователи не могут купить билеты напрямую и вынуждены обращаться к перекупщикам. Это не только неудобно, но и может сорвать планы на поездку.

Летом активность таких мошенников, как правило, возрастает: сезон отпусков — выгодное время для перепродажи. Хотя чаще всего подобные схемы встречаются в индустрии концертов и мероприятий, туристическая сфера тоже оказывается в зоне риска.

Чтобы усложнить жизнь ботам, компании рекомендуют отслеживать аномалии в трафике, анализировать поведение пользователей, применять защитные механизмы вроде антифрода и случайных задержек в повторном появлении возвращённых билетов в продаже — это мешает автоматическому отслеживанию и быстрому перехвату мест.

Пассажирам же советуют не покупать билеты у частных продавцов и не делиться своими личными данными с третьими лицами.