面向Linux系统的Cobalt Strike Beacon黑客工具将在全球肆虐

近日，安全研究人员揭开了新发现的面向 Linux 和 Windows 重新开发的 Cobalt Strike Beacon 黑客软件的面纱，该软件将目光重点投向了政府、电信、信息技术和金融机构。

尚未检测到的渗透测试工具版本，代号为“Vermilion Strike”，标志着罕见的面向 Linux 的版本之一，它传统上是一个基于 Windows 的红队工具，被对手大量重新利用，以发起一系列有针对性的攻击。Cobalt Strike 将自己标榜为“威胁仿真软件”，Beacon 是一种有效攻击载荷，旨在为高级攻击者建模并复制他们的攻击后操作。

根据极牛网GEEKNB.COM小编的梳理，隐形样本在与 C2 服务器通信时使用 Cobalt Strike 的命令和控制 (C2) 协议，并具有远程访问功能，例如上传文件、运行 shell 命令和写入文件。

安装后，恶意软件会在后台自行运行并解密信标运行所需的配置，然后对受感染的 Linux 机器进行指纹识别并通过 DNS 或 HTTP 与远程服务器建立通信以检索 base64 编码和 AES 加密的指令，允许它运行任意命令，写入文件，并将文件上传回服务器。

有趣的是，在调查过程中发现的其他 样本揭示了恶意软件的 Windows 变体，共享功能和用于远程征用主机的 C2 域的重叠。Intezer 还指出间谍活动的范围有限，指出恶意软件用于特定攻击而不是大规模入侵，同时也将其归因于“熟练的威胁演员”，因为在其他攻击中没有观察到 Vermilion Strike迄今为止。

根据极牛网GEEKNB.COM小编的梳理，Vermilion Strike 和其他 Linux 威胁仍然是一个持续的威胁。Linux 服务器在云中的主导地位及其持续上升促使 APT 修改他们的工具集，以便在现有环境中导航。