Especialistas en ciberseguridad reportan el hallazgo de una versión no oficial de Cobalt Strike creada por presuntos hackers y potencialmente empleada en campañas de ciberataque en todo el mundo. Como algunos usuarios recordarán, Cobalt Strike es una herramienta de pentesting muy popular entre los investigadores de seguridad.
Aunque fue desarrollada con fines legítimos, Cobalt Strike también es utilizado por grupos de hacking para tareas post explotación. Esta herramienta se usa después de la implementación de las cargas conocidas como balizas, que permiten generar persistencia en los sistemas afectados. El uso de las balizas permite el acceso posterior y la inyección de otras variantes de malware.
Los grupos de hacking siempre están en busca de copias de Cobalt Strike, capaces de convertir software legítimo en poderosas herramientas de hacking, aunque algo característico de Cobalt Strike es que solo es compatible con sistemas Windows y no incluye balizas Linux.
Esto no ha detenido a los hackers, ya que han ideado una forma de crear balizas de Cobalt Strike compatibles con Linux, ampliando en gran medida las capacidades de un ataque empleando esta herramienta.
Un reporte de la firma de seguridad Intezer revela la detección de esta baliza, identificada como Vermilion Strike, que por el momento pasa desapercibida de cualquier motor antivirus. Vermilion Strike cuenta con el mismo formato de configuración que la baliza oficial y puede hablar con todos los servidores de Cobalt Strike, pero no usa ninguno de los códigos de la aplicación legítima.
Entre las funciones destacadas de esta baliza maliciosa se encuentran:
- Cambio de directorio de trabajo
- Detección del directorio de trabajo actual
- Anexar/escribir al archivo
- Subir archivo al servidor C&C
- Ejecución de comandos a través de popen
- Obtención de particiones de disco
- Lista de archivos
Utilizando datos de telemetría, los expertos encontraron varias organizaciones atacadas empleando Vermilion Strike desde agosto de 2021, principalmente en sectores industriales. Vale la pena mencionar que Vermilion Strike no es el primer o único puerto de Beacon de Cobalt Strike a Linux, con geacon, una implementación de código abierto basada en Go, disponible públicamente durante los últimos dos años.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
