Cisco Talos’taki güvenlik araştırmacıları, uzaktan erişim truva atıyla Windows, macOS ve Linux sistemlerini hedefleyen yeni keşfedilen, zengin özelliklere sahip bir saldırı çerçevesinin şaşırtıcı ayrıntılarını paylaştılar (FARE).
Alchimist saldırı çerçevesi olarak adlandırıldı ve araştırmacılar bu çerçevenin vahşi ortamda kullanıldığından orta derecede eminler.
Bulgular Detaylar
Chetan Raghuprasad, Asheer Malhotra, Vitor Ventura ve Matt Thaxton tarafından yazılan bir Cisco Talos raporuna göre Alchimist, kök dizinde aktif bir dosya listesi ve bir dizi sömürü sonrası aracı barındıran bir sunucuda keşfedilen tek dosyalı bir C2 çerçevesidir. . içinde uygulanmaktadır GoLang ve Insekt RAT’ı güvenliği ihlal edilmiş sistemlere yerleştirir.
“Alchimist, bir tehdit aktörü tarafından nispeten düşük teknik uzmanlıkla hızla dağıtılabilen ve çalıştırılabilen yeni bir C2 çerçevesidir.”
Nick Biasini – Cisco Talos’ta Sosyal Yardım Başkanı
GoLang tabanlı varlıklarda bir C&C sunucusu olarak işlev görecek kaynakları depolar ve rakiplerin MS Windows ve Linux’u hedefleyen wget ve PowerShell kod parçacıkları oluşturmasına olanak tanır. Kötü niyetli yükler oluşturduğunda, kullanıcı, tercih edilen protokolü, URL’yi veya C&C IP’yi hedef OS’yi belirlemek veya Insekt implantını SNI protokolü için bir etki alanı değeri ve arka plan programı olarak çalıştırmak için parametreler sağlayabilir.
Simyacı Yetenekleri
Cisco Talos’a göre Blog yazısıAlchimist, operatörlerinin virüslü cihazlarda kod yürütmesine, ekran görüntüleri yakalamasına, uzak bağlantılar oluşturmasına, kötü niyetli yükler oluşturmasına/dağıtmasına ve çeşitli farklı işlevleri gerçekleştirmesine izin vermek için basitleştirilmiş Çince bir web arayüzü sunan 64-bit bir Linux yürütülebilir dosyasıdır.
Başlatıldığında, Insekt implantı yedi ana işlevi yerine getirir: dosya boyutu ve işletim sistemi bilgisi alma, komut istemi aracılığıyla komutları çalıştırma, komutları farklı bir kullanıcı olarak çalıştırma, implantı yükseltme, çeşitli süreler için uyku modunu başlatma vb.
Araştırmacıların belirlediği diğer sömürü sonrası araçlar arasında özel bir arka kapı, macOS (frp), psexec, fscan, netcat ve benzer hazır araçları hedefleyen bir ters proxy yer alıyor. Ayrıca, şu şekilde izlenen bir ayrıcalık yükseltme güvenlik açığı için bir istismar içeren bir Mach-O damlası da tespit ettiler. CVE-2021-4034 ve Polkit’in Pkexec yardımcı programında ve Mach-O bind Shell arka kapısında bulundu.
Ayrıca, RAT sistemin internet bağlantısını kontrol eder, bağlantı noktası IP taraması ve SSH manipülasyonu gerçekleştirir, Linux’ta .ssh dizinini listeler ve işletim sisteminin Kabuğunda isteğe bağlı komutları yürütür.
Manjusaka ile benzerlik
Cisco araştırmacıları, Alchimist ile yakın zamanda tespit edilen başka bir bağımsız saldırı çerçevesi arasında güçlü benzerlikler gözlemledi. Manjusaka. Araştırmacılar, özellikleri aynı olsa da uygulama yöntemlerinin farklı olduğunu belirtmişlerdir.
Diğer bir fark, Alchimist’te olağandışı protokol SNI’nin kullanılmasıdır. Her iki çerçeve de bağımsız GoLang tabanlı yürütülebilir dosyalar olarak çalışmak üzere tasarlanmış/uygulanmıştır. Her iki durumda da implant konfigürasyonu, Basitleştirilmiş Çince ile yazılmış web kullanıcı arayüzü aracılığıyla tanımlanır.
Araştırmacılar, Alchimist’i, tehdit aktörlerinin Sliver ve Sliver gibi standart sömürü sonrası araçlara alternatifler yaratmaya yönelik gelişen dürtünün en son kanıtı olarak tanımladılar. kobalt grevi.
Alakalı haberler
- Yeni DDoS Kötü Amaçlı Yazılım ‘Kaos’ Linux ve Windows Cihazlarını Vuruyor
- Çin APT Grubundan Windows, Linux ve macOS Kullanıcıları Vuruldu
- ElectroRat kripto kötü amaçlı yazılımı macOS, Windows ve Linux cihazlarını vurdu
- Çok platformlu SysJoker arka kapısı Windows, macOS ve Linux’u vurur
- CrossRAT keylogging kötü amaçlı yazılımı Linux, macOS ve Windows PC’leri hedefliyor