Los investigadores han revelado un nuevo marco ofensivo llamado Manjusaka al que llaman “hermano chino de Sliver y Cobalt Strike”.
“Una versión completamente funcional del comando y control (C2), escrita en GoLang con una interfaz de usuario en chino simplificado, está disponible gratuitamente y puede generar nuevos implantes con configuraciones personalizadas con facilidad, lo que aumenta la probabilidad de una adopción más amplia de este marco por actores malintencionados”, Cisco Talos dijo en un nuevo informe.
Astilla y Golpe de cobalto son marcos legítimos de emulación de adversarios que han sido utilizados por los actores de amenazas para llevar a cabo actividades posteriores a la explotación, como el reconocimiento de la red, el movimiento lateral y la facilitación del despliegue de cargas útiles de seguimiento.
Escrito en Rust, Manjusaka, que significa “flor de vaca”, se anuncia como un equivalente del marco Cobalt Strike con capacidades para apuntar a los sistemas operativos Windows y Linux. Se cree que su desarrollador se encuentra en la región de GuangDong de China.
“El implante consta de una multitud de capacidades de troyanos de acceso remoto (RAT) que incluyen algunas funciones estándar y un módulo de administración de archivos dedicado”, señalaron los investigadores.
Algunas de las funciones admitidas implican la ejecución de comandos arbitrarios, la recopilación de credenciales de navegador de Google Chrome, Microsoft Edge, Qihoo 360, Tencent QQ Browser, Opera, Brave y Vivaldi, la recopilación de contraseñas de Wi-Fi, la captura de capturas de pantalla y la obtención de información completa del sistema.
También está diseñado para iniciar el módulo de administración de archivos para llevar a cabo una amplia gama de actividades, como enumerar archivos y administrar archivos y directorios en el sistema comprometido.
Por otro lado, la variante ELF de la puerta trasera, aunque incluye la mayoría de las funcionalidades como su contraparte de Windows, no incorpora la capacidad de recopilar credenciales de navegadores basados en Chromium y recopilar contraseñas de inicio de sesión de Wi-Fi.
Además, parte del marco del idioma chino es un ejecutable del servidor C2 que está codificado en Golang y está disponible en GitHub en “hxxps://github[.]com/YDHCUI/manjusaka”. Un tercer componente es un panel de administración integrado en el Marco web de ginebra que permite a un operador crear el implante Rust.
El binario del servidor, por su parte, está diseñado para monitorear y administrar un punto final infectado, además de generar los implantes de Rust apropiados según el sistema operativo y emitir los comandos necesarios.
Dicho esto, la cadena de evidencia sugiere que está en desarrollo activo o que sus componentes se ofrecen a otros actores como un servicio.
Talos dijo que hizo el descubrimiento durante su investigación de una cadena de infección maldoc que aprovecha los señuelos temáticos de COVID-19 en China para entregar balizas Cobalt Strike en sistemas infectados, y agregó que el mismo actor de amenazas también usó los implantes del marco de Manjusaka en la naturaleza.
Los hallazgos llegan semanas después de que surgiera que se ha observado que actores maliciosos abusan de otro software de simulación de adversario legítimo llamado Brute Ratel (BRc4) en sus ataques en un intento de permanecer bajo el radar y evadir la detección.
“La disponibilidad del marco ofensivo de Manjusaka es una indicación de la popularidad de las tecnologías ofensivas ampliamente disponibles tanto con los operadores de crimeware como de APT”, dijeron los investigadores.
“Este nuevo marco de ataque contiene todas las características que uno esperaría de un implante, sin embargo, está escrito en los lenguajes de programación más modernos y portátiles. El desarrollador del marco puede integrar fácilmente nuevas plataformas de destino como MacOSX o versiones más exóticas de Linux. como los que se ejecutan en dispositivos integrados”.