Маячок Cobalt Strike портирован на Linux, используется в атаках
Главная » Новости

Маячок Cobalt Strike портирован на Linux, используется в атаках

Татьяна Никитина 14 Сентября 2021 - 15:28
...
Маячок Cobalt Strike портирован на Linux, используется в атаках

При разборе недавних целевых атак эксперты израильской ИБ-компании Intezer обнаружили Linux-версию Cobalt Strike Beacon. Находка, пока плохо детектируемая антивирусами, получила условное название Vermilion Strike.

Данные телеметрии показали, что злоумышленники взяли этот бэкдор на вооружение в прошлом месяце. Он был замечен в точечных атаках против госструктур, телеком-провайдеров, ИТ-компаний и финансовых институтов разных стран. Исследование выявило также созданные с нуля образцы Windows-версии Cobalt Strike Beacon, привязанные к тому же C2-серверу.

Анализ показал, что Vermilion Strike ориентирован на дистрибутивы Linux, использующие базовый код Red Hat. По функциональности зловред схож с исходным маячком: работает в фоновом режиме, обеспечивая оператору удаленный доступ, и способен выполнять шелл-команды, получать доступ к файлам на запись, а также выгружать произвольные файлы на свой сервер.

Первый сэмпл Vermilion Strike был загружен на VirusTotal 10 августа из Малайзии. На тот момент эту угрозу не смог распознать ни один антивирус на сервисе. По состоянию на 14 сентября его детектят 14 из 59 сканеров в коллекции.

Код Windows-версии маячка Cobalt Strike был переписан, видимо, с той же целью — уберечь инструмент атаки от обнаружения. Тулкит, в состав которого он входит, вполне легитимен; специалисты по ИБ обычно используют его для оценки защищенности ИТ-инфраструктуры.

Маячок же (beacon) при этом устанавливается в системы, чтобы сымитировать действия гипотетического злоумышленника после проникновения в сеть. Официальной Linux-версии Cobalt Strike Beacon не существует, он ориентирован на Windows-окружение.

К сожалению, киберкриминал тоже оценил по достоинству возможности Cobalt Strike. Последние годы этот набор инструментов зачастую используется для внедрения в сети программ-шифровальщиков, и антивирусы уже научились опознавать такую полезную нагрузку.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

UDV NTA: вышла новая система сетевого контроля и раннего обнаружения
Екатерина Быстрова 16 Июня 2025 - 18:15
Корпорации Сетевая безопасностьСистемы анализа трафика (NTA) UDV Group
UDV NTA: вышла новая система сетевого контроля и раннего обнаружения

Компания UDV Group представила новую систему для анализа сетевого трафика — UDV NTA. Это система, которая позволяет лучше понимать, что происходит в корпоративной сети, и помогает на ранних стадиях замечать признаки кибератак. UDV NTA уже доступна для пилотирования.

Зачем нужен UDV NTA

Продукт рассчитан на компании, которые строят систему информационной безопасности или хотят дополнить уже установленные средства защиты — вроде антивирусов, EDR или межсетевых экранов — возможностью видеть картину трафика целиком. Главная идея: чем больше прозрачности в сети, тем проще заметить аномалии и вовремя на них отреагировать.

Что умеет система

  • Анализ сетевого трафика вплоть до уровня прикладных протоколов. Это помогает разбираться в причинах инцидентов и понимать, как именно развивалась атака.
  • Поиск угроз в истории соединений — можно найти следы компрометации даже спустя время.
  • Визуализация сети — удобная карта устройств и соединений помогает разобраться, кто с кем и как взаимодействует.
  • Обнаружение аномалий — система отслеживает подозрительное поведение, несанкционированные подключения (в том числе BYOD и Shadow IT), и фиксирует нелегитимное использование админских инструментов.
  • Безагентная работа — особенно полезна для устройств, на которые нельзя поставить ПО, включая IoT.
  • Оценка атаки в реальном времени — выявление и локализация угрозы, восстановление цепочки событий, регистрация и сбор доказательств.

Что ещё важно

Продукт официально включён в реестр российского ПО (№27786 от 06.05.2025) и отмечен как использующий технологии ИИ. В частности, в системе применяются методы машинного обучения для обнаружения нестандартных каналов связи, например, при туннелировании или использовании DGA-доменов.

Доступность

С 4 июня 2025 года UDV NTA доступен для пилотирования. Компании могут опробовать продукт на тестовом стенде: либо самостоятельно, либо с помощью инженеров вендора.

Разработка строилась на опыте защиты критической инфраструктуры, и акцент был сделан на том, чтобы инструмент был одновременно функциональным и не требовал дорогостоящего оборудования.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Суд заблокировал 11 телеграм-каналов, где продавали данные из ЕГРН
Новость
Суд заблокировал 11 телеграм-каналов, где продавали данные и...
Всплеск веб-атак на российскую энергетику: за три дня — двукратный рост
Новость
Всплеск веб-атак на российскую энергетику: за три дня — двук...
Суд в Москве запретил сайт с голосами Путина, Трампа, Синатры и Губки Боба
Новость
Суд в Москве запретил сайт с голосами Путина, Трампа, Синатр...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.