面向全球组织的Cobalt Strike Beacon Linux实现

周一，研究人员揭开了一个新发现的Linux和Windows重新实现Cobalt Strike Beacon的序幕，该公司正积极将目光投向政府、电信、信息技术和金融机构。

尚未检测到的渗透测试工具版本—；代号为“朱砂罢工”和#8212；这是罕见的Linux端口之一，传统上，它是一个基于Windows的red team工具，被对手大量重新利用，以发起一系列有针对性的攻击。Cobalt Strike自称为“威胁模拟软件”，Beacon是一种有效载荷，用于模拟高级参与者并复制其攻击后的行为。

Intezer研究人员在今天发布并与《黑客新闻》分享的一份报告中说：“隐形样本在与C2服务器通信时使用Cobalt Strike的指挥与控制（C2）协议，并具有远程访问功能，如上传文件、运行外壳命令和写入文件。”。

这家以色列网络安全公司的发现来自于8月10日从马来西亚上传到VirusTotal的一件文物。截至撰写本文时，只有两个反恶意软件引擎将该文件标记为恶意文件。

安装后，恶意软件会在后台运行，并解密信标运行所需的配置，然后对受损的Linux机器进行指纹识别，并通过DNS或HTTP与远程服务器建立通信，以检索base64编码和AES加密的指令，从而允许其运行任意命令，写入文件，然后将文件上传回服务器。

有趣的是，在调查过程中发现的其他样本揭示了该恶意软件的Windows变体，在用于远程霸占主机的功能和C2域中存在重叠。Intezer还指出间谍活动的范围有限，指出恶意软件用于特定攻击而不是大规模入侵，同时还将其归因于“熟练的威胁行为人”，因为迄今为止，在其他攻击中尚未观察到朱砂打击。

这远远不是第一次使用合法的安全测试工具包来策划针对各种目标的攻击。上个月，美国安全公司Secureworks详细介绍了一个被追踪为Tin Woodlawn（又名APT32或OceanLotus）的威胁组织实施的鱼叉式网络钓鱼活动，该组织利用定制和增强版的Cobalt Strike规避安全对策，试图窃取知识产权和商业机密。

研究人员说：“朱砂打击和其他Linux威胁仍然是一个持续的威胁。Linux服务器在云端的主导地位及其持续增长促使APT修改其工具集，以便在现有环境中导航。”。