Cobalt Strike 亜種の Vermilion Strike が Linux 上に展開されている

Linux Implementation of Cobalt Strike Beacon Targeting Organizations Worldwide

2021/09/13 TheHackerNews — 月曜日に研究者たちは、政府機関/通信事業者/情報技術者/金融機関などを標的にした、Cobalt Strike Beacon の Linux 版と Windows 版を新たに発見した。この、ペネトレーション・テスト・ツールの、未確認バージョンは Vermilion Strike というコードネームで呼ばれ、あまり使われない Linux ポートの1つを指している。

ベースとなる Cobalt Strike は、随所で利用されてきた Windows レッドチーム・ツールであり、この攻撃者により標的型攻撃の配列が実装されている。 Cobalt Strike は、脅威エミュレーション・ソフトウェアと自称し、また、Beacon は、高度なアクターをモデル化し、エクスプロイト後のアクションを複製するように設計されたペイロードである。

Intezer の研究者たちは、本日のレポートの中で、「このステルス・サンプルは、C2 サーバーとの通信に Cobalt Strike の C2 (Command and Control) プロトコルを使用し、ファイルのアップロードや、シェルコマンドの実行、ファイルへの書き込みなどの、リモートアクセス機能を備えている」と述べている

イスラエルのサイバー・セキュリティ企業である Intezer の調査結果は、8月10日にマレーシアから VirusTotal にアップロードされた、派生物から得られた情報に基づくものだ。本稿執筆時点では、2つのアンチマルウェア・エンジンのみが。このファイルを悪意のあるものとしている。

インストールされたマルウェアは、バックグラウンドで実行され、ビーコンの機能に必要な設定を復号化した後に、感染した Linux マシンのフィンガープリントを取得する。続いて、DNS または HTTP を介してリモートサーバと通信を確立し、base64 および AES で暗号化された命令を取得し、任意のコマンドの実行や、ファイルへの書き込み、サーバへのファイル・アップロードなどを可能にする。

興味深いことに、調査の過程で確認された追加のサンプルは、このマルウェアの Windows 版に注目するものであり、ホストを遠隔操作するために使用される C2 ドメインに共通点がある。Intezer は、このスパイ活動の範囲が限定的であることを指摘し、大規模な侵入ではなく特定の攻撃に使用されていると述べている。また、Vermilion Strike が、これまで他の攻撃で観測されていないことから、熟練した脅威アクターが存在すると推測される。

研究者たちは、「Vermilion Strike などは、依然として Linux 上の脅威である。クラウドにおける Linux サーバーの優位性と継続的な増加により、APT は既存の環境をナビゲートするツールセットを変更する必要がある」と述べている。

Cobalt Strike に関しては、「Kaseya VSA ゼロデイ攻撃に便乗する Cobalt Strike バックドアとは?」や、「Cobalt Strike の新たなバグにより悪意のサーバーがダウンした?」などでフォローしてきました。文中にも有るように、Cobalt Strike はセキュリティ・テストにおけるレッド・チームの重要なツールです。なにかの問題で、ソースコードが流出し、この Vermilion Strike のような亜種が生み出されています。ちなみに、Vermilion とは朱色のことで、Cobalt をもじって命名されているようです。

%d bloggers like this: