idNSA.id - Para peneliti menemukan implementasi Linux dan Windows dari Cobalt Strike Beacon yang dikembangkan oleh penyerang yang secara aktif digunakan dalam serangan di publik.
Pelaku ancaman mengimplementasikan ulang Cobalt Strike Beacon versi Linux dan Windows tidak resmi dari awal dan secara aktif menggunakannya dalam serangan yang ditujukan untuk organisasi di seluruh dunia.
Versi Linux dari alat pasca-eksploitasi komersial diberi nama kode Vermilion Strike dan menurut peneliti Intezer, yang melihatnya, apakah sepenuhnya tidak terdeteksi oleh vendor.
“Pada Agustus 2021, kami di Intezer menemukan implementasi ELF yang sepenuhnya tidak terdeteksi dari Cobalt Strike Beacon, yang kami beri nama Vermilion Strike. Sampel tersembunyi menggunakan protokol Cobalt Strike's Command and Control (C2) saat berkomunikasi ke server C2 dan memiliki kemampuan Akses Jarak Jauh seperti mengunggah file, menjalankan command shell, dan menulis ke file.” membaca analisis yang diterbitkan oleh Intezer.
Peneliti Intezer melaporkan bahwa varian Linux telah aktif di publik sejak Agustus, pelaku ancaman menggunakannya dalam serangan terhadap perusahaan telekomunikasi, lembaga pemerintah, perusahaan IT, lembaga keuangan dan perusahaan penasihat.
Sampel yang dianalisis oleh para peneliti diunggah ke VirusTotal dari Malaysia dan memiliki deteksi zero rate di platform pada saat penulisan ini. Para peneliti percaya bahwa Vermillon Strike digunakan dalam serangan yang sangat bertarget.
Analisis teknis mengungkapkan bahwa file ELF yang diunggah di VisurTotal berbagi string dengan sampel Cobalt Strike dan dapat dideteksi sebagai berbahaya dengan menggunakan aturan YARA untuk Cobalt Strike. File ini dibangun di atas distribusi Red Hat Linux.
“Ini menggunakan OpenSSL melalui tautan dinamis. Nama objek bersama untuk OpenSSL pada distribusi berbasis Red Hat berbeda dari distribusi Linux lainnya. Karena itu, ini hanya dapat berjalan pada mesin dengan distribusi Linux berdasarkan basis kode Red Hat.” lanjutan analisis.
Setelah menginstal sampel, malware akan berjalan di latar belakang menggunakan daemon dan mendekripsi konfigurasi yang diperlukan agar suar berfungsi. Malware menghubungkan C2 terutama melalui DNS, untuk menghindari deteksi, tetapi juga dapat menggunakan HTTP.
“Vermilion Strike dan ancaman Linux lainnya tetap menjadi ancaman konstan. Dominasi server Linux di cloud dan peningkatannya yang berkelanjutan mengundang APT untuk memodifikasi perangkat mereka untuk menavigasi lingkungan yang ada. Ancaman Linux sering kali memiliki tingkat deteksi yang rendah dibandingkan dengan rekan-rekan Windows mereka karena alasan yang dibahas di Mengapa Kita Harus Lebih Memperhatikan Ancaman Linux, menyimpulkan analisis. “Vermilion Strike bukan satu-satunya port Linux dari Cobalt Strike's Beacon. Contoh lain adalah proyek open-source geacon, implementasi berbasis Go. Vermilion Strike mungkin bukan implementasi Linux terakhir dari Beacon.”
