Alchimist adlı daha önce belgelenmemiş bir komut ve kontrol (C2) çerçevesi, muhtemelen Windows, macOS ve Linux sistemlerini hedeflemek için vahşi ortamda kullanılıyor.
Cisco Talos, paylaşılan bir raporda, “Alchimist C2, Basitleştirilmiş Çince ile yazılmış bir web arayüzüne sahip ve yapılandırılmış bir yük oluşturabilir, uzak oturumlar kurabilir, yükü uzak makinelere dağıtabilir, ekran görüntüleri yakalayabilir, uzaktan kabuk kodu yürütme gerçekleştirebilir ve keyfi komutlar çalıştırabilir” dedi. Hacker Haberleri ile.
GoLang’da yazılan Alchimist, C2 sunucusu tarafından ayarlanabilen uzaktan erişim özellikleriyle birlikte gelen Insekt adlı bir işaret implantı ile tamamlanmaktadır.
Alchimist ve çeşitli kötü amaçlı yazılım implantları ailesinin keşfi, Talos’un ayrıca “Sliver ve Cobalt Strike’ın Çinli kardeşi” olarak lanse edilen Manjusaka olarak bilinen başka bir bağımsız çerçeveyi detaylandırmasından üç ay sonra geldi.
Daha da ilginci, hem Manjusaka hem de Alchimist, web arayüzleri söz konusu olduğunda uygulamadaki farklılıklara rağmen benzer işlevselliklere sahiptir.
Alchimist C2 paneli ayrıca Windows ve Linux için PowerShell ve wget kod parçacıkları oluşturma becerisine sahiptir ve potansiyel olarak bir saldırganın Insekt RAT yükünü dağıtmak için enfeksiyon zincirlerini temizlemesine olanak tanır.
Talimatlar daha sonra, açıldığında güvenliği ihlal edilmiş makinede arka kapıyı indirip başlatan bir kimlik avı e-postasına eklenen bir kötü amaçlı belgeye yerleştirilebilir.
Truva atı, kendi adına, bu tür arka kapılarda tipik olarak bulunan, kötü amaçlı yazılımın sistem bilgilerini almasına, ekran görüntüleri yakalamasına, rastgele komutlar çalıştırmasına ve uzak dosyaları indirmesine olanak tanıyan özelliklerle donatılmıştır.
Dahası, Insekt’in Linux sürümü, “.ssh” dizininin içeriğini listeleyebilir ve hatta SSH üzerinden uzaktan erişimi kolaylaştırmak için “~/.ssh/yetkili_keys” dosyasına yeni SSH anahtarları ekleyebilir.
Ancak operasyonun arkasındaki tehdit aktörünün gözünün önünde macOS olduğuna dair bir işaret olarak Talos, ayrıcalık yükseltme elde etmek için PwnKit güvenlik açığından (CVE-2021-4034) yararlanan bir Mach-O dropper’ı ortaya çıkardığını söyledi.
“Ama, bu [pkexec] yardımcı program varsayılan olarak MacOSX’te yüklü değildir, bu da ayrıcalıkların yükseltilmesinin garanti edilmediği anlamına gelir,” dedi Talos.
Örtüşen işlevler Manjusaka ve Alchimist, uzaktan yönetim ve komuta ve kontrol için kullanılabilen “her şey dahil C2 çerçevelerinin” kullanımında bir artışa işaret ediyor.
Araştırmacılar, “Bir tehdit aktörünün bir kurbanın makinesine ayrıcalıklı mermi erişimi elde etmesi, bir İsviçre Çakısı’na sahip olmak gibi, kurbanın ortamında keyfi komutların veya kabuk kodlarının yürütülmesini sağlayarak hedef organizasyon üzerinde önemli etkilere neden olur” dedi.