Les cybercriminels recréent Cobalt Strike sous Linux

Sécurité : Cette nouvelle version du logiciel de test d’intrusion était passée sous le radar des outils de détection.

Une réimplémentation de Cobalt Strike a été « écrite de toutes pièces » pour attaquer les systèmes Linux.

Cobalt Strike et Vermilion Strike

Cobalt Strike est un outil légitime de test d’intrusion pour les systèmes Windows. Sorti en 2012, l’outil a été constamment exploité par des acteurs malveillants, notamment des groupes sophistiqués (APT) tels que Cozy Bear et dans des campagnes visant à diffuser Trickbot et le cheval de Troie bancaire Qbot/Qakbot.

Le code source de la version 4.0 de Cobalt Strike aurait fait l’objet d’une fuite en ligne, mais la plupart des acteurs malveillants suivis par les équipes de cybersécurité semblent s’appuyer sur des copies pirates ou piratées du logiciel.

Jusqu’à présent, du moins.

En août, Intezer a découvert une nouvelle implémentation ELF de la balise Cobalt Strike, qui semble provenir de Malaisie. Lorsque les chercheurs ont signalé Vermilion Strike, il n’était pas été détecté comme logiciel malveillant sur VirusTotal. Toutefois, à l’heure où nous écrivons ces lignes, 24 éditeurs d’antivirus détectent désormais la menace.

Construit sur une distribution Red Hat Linux, le logiciel malveillant est capable de lancer des balises, de lister des fichiers, de modifier et de retirer des répertoires de travail, d’ajouter et d’écrire dans des fichiers, de télécharger des données vers son serveur de commande, d’exécuter des commandes via la fonction popen et d’analyser des partitions de disque.

Linux et Windows

Bien qu’ils soient capables d’attaquer les versions Linux, des échantillons Windows ont également été découverts utilisant le même serveur de contrôle et proposant les mêmes fonctionnalités.

Les chercheurs ont collaboré avec McAfee Enterprise ATR pour examiner le logiciel et sont parvenus à la conclusion que Vermilion Strike est utilisé dans des attaques ciblées contre des sociétés de télécommunications, informatiques, de conseil, financières et des organisations gouvernementales dans le monde entier.

« La sophistication de ce groupe, son intention de mener des activités d’espionnage et le fait que le code n’a pas été vu auparavant dans d’autres attaques, ainsi que le fait qu’il cible des entités spécifiques, nous amènent à penser que cet outil a été développé par un groupe compétent », affirme Intezer.

Ce n’est pas le seul portage non officiel de Cobalt Strike, cependant. Il existe également geacon, un projet open source basé sur le langage de programmation Golang.

Source : ZDNet.com

Catégories