Passa ai contenuti principali

Cybercriminali ricreano Cobalt Strike su Linux

Una reimplementazione di Cobalt Strike è stata "scritta da zero" per attaccare i sistemi Linux.

Soprannominato Vermilion Strike , Intezer ha dichiarato martedì che la nuova variazione si basa sulla funzionalità Cobalt Strike, incluso il protocollo di comando e controllo (C2), la funzionalità di accesso remoto e la capacità di eseguire istruzioni shell.

Cobalt Strike è uno strumento di test di penetrazione legittimo per i sistemi Windows. Rilasciato nel 2012, lo strumento è stato costantemente abusato da attori delle minacce, inclusi gruppi di minacce persistenti avanzate (APT) come Cozy Bear e campagne progettate per diffondere Trickbot e il Trojan bancario Qbot/Qakbot.

Il codice sorgente di Cobalt Strike per la versione 4.0 sarebbe stato trapelato online , tuttavia, la maggior parte degli attori delle minacce monitorati dai team di sicurezza informatica sembrano fare affidamento su copie pirata e craccate del software.

Fino ad ora, almeno.

Ad agosto, Intezer ha scoperto la nuova implementazione ELF del faro di Cobalt Strike, che sembra provenire dalla Malesia.

Quando i ricercatori hanno segnalato Vermilion Strike, non è stato rilevato su VirusTotal come software dannoso. (Tuttavia, al momento della stesura, 24 fornitori di antivirus hanno registrato la minaccia.)

Costruito su una distribuzione Red Hat Linux, il malware è in grado di lanciare beacon, elencare file, cambiare ed estrarre directory di lavoro, aggiungere e scrivere file, caricare dati sul suo C2, eseguire comandi tramite la funzione popen e analizzare le partizioni del disco.

Sebbene siano in grado di attaccare le build Linux, sono stati trovati anche esempi di Windows che utilizzano lo stesso server C2 e contengono le stesse funzionalità.

I ricercatori hanno lavorato con McAfee Enterprise ATR per esaminare il software e sono giunti alla conclusione che Vermilion Strike viene utilizzato in attacchi mirati contro organizzazioni di telecomunicazioni, governo, IT, consulenza e finanziarie in tutto il mondo.

"La sofisticatezza di questa minaccia, il suo intento di condurre lo spionaggio e il fatto che il codice non sia mai stato visto prima in altri attacchi, insieme al fatto che prende di mira entità specifiche in natura, ci porta a credere che questa minaccia fosse sviluppato da un abile attore di minacce", afferma Intezer.

Tuttavia, questo non è l'unico porto non ufficiale di Cobalt Strike. C'è anche geacon , un progetto open source basato sul linguaggio di programmazione Golang.
Tag:

Commenti

Posta un commento

Popolari

CTF, talento e gioco di squadra. Il Team Italy pronto alla sfida europea

A Torino è stata presentata la squadra nazionale italiana di cybersicurezza, il Team Italy 2025-2026, composta da dieci studenti selezionati tra licei, istituti tecnici e università chiamati a rappresentare l’Italia nelle prossime competizioni nazionali e internazionali. La squadra parteciperà, a ottobre, allo European Cybersecurity Challenge che si terrà a Varsavia: una vetrina importante dove i giovani talenti mettono alla prova tecniche di difesa e attacco in scenari simulati e controllati. Alla base della preparazione c’è un approccio pratico e collettivo: training e addestramento gratuiti organizzati dal Cybersecurity National Lab del CINI, che trasformano il gioco in formazione concreta per professionisti di domani. Questo percorso mostra come il mondo delle CTF (capture the flag) non sia solo svago ma una palestra fondamentale per allenare competenze applicabili alla protezione di infrastrutture strategiche come ospedali, scuole e aeroporti. Le CTF vanno celebrate: offrono scena...
Posta un commento
Continua a leggere »

Il fantasma di Stuxnet. Quanto siamo pronti a fermare un attacco simile nel 2025

Quindici anni dopo la scoperta di Stuxnet, il malware che nel 2010 dimostrò la possibilità concreta di sabotare un impianto industriale attraverso il codice, la domanda sul ripetersi di un’operazione simile è più attuale che mai. All’epoca, la combinazione di zero-day Windows, driver firmati con certificati contraffatti e la manipolazione dei PLC Siemens che controllavano le centrifughe iraniane segnarono una svolta epocale: per la prima volta un’arma informatica aveva prodotto un effetto fisico su larga scala, nascosta dietro feedback falsificati che trassero in inganno gli operatori. Non era un malware generico, né un ransomware, ma una vera e propria operazione militare digitale disegnata per un obiettivo specifico. Dal 2010 al 2025 lo scenario è cambiato radicalmente. Le infrastrutture industriali sono sempre più connesse con reti IT e servizi cloud, ampliando una superficie d’attacco che un tempo era confinata in ambienti isolati. Le tecniche offensive si sono evolute: non solo ma...
Posta un commento
Continua a leggere »

iPhone 17 Pro, la nuova frontiera della sicurezza Apple

Apple ha presentato con la serie iPhone 17 (incluse le versioni Pro) una delle sue evoluzioni più importanti in ambito sicurezza, puntando esplicitamente a contrastare spyware sofisticati e vulnerabilità di memoria – tipico punto di ingresso per attacchi mirati. Ecco cosa cambia davvero, cosa resta da fare e perché queste novità sono rilevanti per chi si occupa di sicurezza informatica. Quando si parla di sicurezza sui nuovi iPhone 17 Pro, le innovazioni più significative sono: - Memory Integrity Enforcement (MIE): nuova protezione hardware/software “always-on” che combina vari meccanismi per impedire exploit basati su bug di memoria. - Enhanced Memory Tagging Extension (EMTE): è il “cuore” della protezione, su cui si basa la gestione più sicura della memoria, con tagging, confidenzialità dei tag, e allocatori di memoria più robusti. - Applicazione difensiva su aree sensibili del sistema, incluso il kernel e più di settanta processi “userland” considerati ad alto rischio. - MIE avrà ef...
Posta un commento
Continua a leggere »