Cobalt StrikeビーコンのLinuxカスタム版が登場:すでに攻撃に使用か

ある脅威グループが有名なセキュリティツールをカスタマイズして強化したバージョンを使用して、2021年8月の1ヶ月間で世界中のさまざまなターゲットに対する攻撃を行っていたことがわかりました。

攻撃の対象となったのは、通信事業者、政府機関、IT企業、金融機関、顧問会社などで、コードネーム「Vermilion」と呼ばれるこの脅威グループはセキュリティソフトウェア企業のHelpSystems社が開発したペネトレーションテスト用ツールキット「Cobalt Strike」のバージョンを改変して攻撃を行っています。

このツールは、セキュリティ企業がペネトレーションテストの一環として、脅威グループが使用するテクニックを模倣するために開発されたものですが、その高度な機能により、サイバー犯罪グループも好んで使用しているツールとなっています。

https://www.cobaltstrike.com/

Intel 471、Proofpoint、Recorded Future社の調査によると、2020年に導入されたマルウェアのコマンド&コントロール(C&C)サーバーのうち、Cobalt Strikeと同じペネトレーションテストツールであるMetasploitが4分の1以上を占めていることが判明しており、このツールはサーバー・クライアント型のアーキテクチャを採用しており、セキュリティリサーチャー(またはマルウェア作者)は、サーバー側のコンポーネントを使ってシステムを攻撃し、Cobalt Strike Beaconと呼ばれるバックドアを展開することができます。

Beaconは、Windowsシステムでのみ利用可能なバックドアであり、最近特に広く利用されているため、セキュリティソフトウェアはこの特殊なペイロードに対して優れた検出機能を持っていることが多いです。

Cobalt Strike BeaconのLinuxへの移植

クラウドセキュリティ企業のIntezer Labsが発表したレポートによると、Vermilionグループは自分たちのマルウェアが検知されないようにするために、バックドア「Cobalt Strike Beacon」のLinux版として唯一無二の「Vermilion Strike」を開発したとコメントしています。

https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/

2021年8月、IntezerはCobalt Strikeのビーコンを完全に検出されずに実装したELFを発見し、Vermilion Strikeと名付けました。

このステルス性の高いサンプルは、C2サーバーとの通信時にCobalt StrikeのCommand and Control(C2)プロトコルを使用し、ファイルのアップロード、シェルコマンドの実行、ファイルへの書き込みなどのリモートアクセス機能を備えています。

このマルウェアは、この記事を書いている時点ではVirusTotalで完全に検出されておらず、マレーシアからアップロードされました。

さらに、自分たちのツールが検出されないようにするという同じ理由で、オリジナルのWindows版Beaconバックドアも書き換えているとのことです。

Intezer社の発見は、米国のセキュリティ企業Secureworks社がAPT32(Tin Woodlawn)と呼ばれるベトナムのサイバースパイ集団が、2021年の夏の初めにもバックドア「Cobalt Strike Beacon」の修正版を作成して展開していたことを明らかにしたことに端を発しており、Intezer社の広報担当者は、これらの2つの修正版は異なるものであり、2つの異なる脅威グループによって開発されたようだと述べています。

Vermilionはツールのカスタマイズに力を入れており、これまでに見たことのないようなLinuxの亜種まで開発しています。

Leave a Reply

Your email address will not be published.