Alchimist adlı daha önce belgelenmemiş bir komut ve kontrol (C2) çerçevesi, muhtemelen Windows, macOS ve Linux sistemlerini hedeflemek için vahşi ortamda kullanılıyor.
“Alchimist C2, Basitleştirilmiş Çince ile yazılmış bir web arayüzüne sahiptir ve yapılandırılmış bir veri yükü oluşturabilir, uzak oturumlar kurabilir, yükü uzak makinelere dağıtabilir, ekran görüntüleri yakalayabilir, uzaktan kabuk kodu yürütme gerçekleştirebilir ve isteğe bağlı komutlar çalıştırabilir,” Cisco Talos söz konusu The Hacker News ile paylaşılan bir raporda.
GoLang’da yazılan Alchimist, C2 sunucusu tarafından ayarlanabilen uzaktan erişim özellikleriyle birlikte gelen Insekt adlı bir işaret implantı ile tamamlanmaktadır.
Alchimist’in ve çeşitli kötü amaçlı yazılım implantları ailesinin keşfi, Talos’un Manjusaka olarak bilinen bağımsız bir başka çerçeveyi de detaylandırmasından üç ay sonra geldi. lanse “Sliver ve Cobalt Strike’ın Çinli kardeşi” olarak.
Daha da ilginci, hem Manjusaka hem de Alchimist, web arayüzleri söz konusu olduğunda uygulamadaki farklılıklara rağmen benzer işlevselliklere sahiptir.
Alchimist C2 paneli ayrıca Windows ve Linux için PowerShell ve wget kod parçacıkları oluşturma becerisine sahiptir ve potansiyel olarak bir saldırganın Insekt RAT yükünü dağıtmak için enfeksiyon zincirlerini temizlemesine olanak tanır.
Talimatlar daha sonra, açıldığında güvenliği ihlal edilmiş makinede arka kapıyı indirip başlatan bir kimlik avı e-postasına eklenen bir kötü amaçlı belgeye yerleştirilebilir.
Truva atı, kendi adına, bu tür arka kapılarda tipik olarak bulunan, kötü amaçlı yazılımın sistem bilgilerini almasına, ekran görüntüleri yakalamasına, rastgele komutlar çalıştırmasına ve uzak dosyaları indirmesine olanak tanıyan özelliklerle donatılmıştır.
Dahası, Insekt’in Linux sürümü, “.ssh” dizininin içeriğini listeleyebilir ve hatta SSH üzerinden uzaktan erişimi kolaylaştırmak için “~/.ssh/yetkili_keys” dosyasına yeni SSH anahtarları ekleyebilir.
Ancak operasyonun arkasındaki tehdit aktörünün gözünün önünde macOS olduğuna dair bir işaret olarak Talos, ayrıcalık yükseltme elde etmek için PwnKit güvenlik açığından (CVE-2021-4034) yararlanan bir Mach-O dropper’ı ortaya çıkardığını söyledi.
“Ama, bu [pkexec] yardımcı program varsayılan olarak MacOSX’te yüklü değildir, bu da ayrıcalıkların yükseltilmesinin garanti edilmediği anlamına gelir,” dedi Talos.
Örtüşen işlevler Manjusaka ve Alchimist, uzaktan yönetim ve komuta ve kontrol için kullanılabilen “her şey dahil C2 çerçevelerinin” kullanımında bir artışa işaret ediyor.
Araştırmacılar, “Bir tehdit aktörünün bir kurbanın makinesine ayrıcalıklı mermi erişimi elde etmesi, bir İsviçre Çakısı’na sahip olmak gibi, kurbanın ortamında keyfi komutların veya kabuk kodlarının yürütülmesini sağlayarak hedef organizasyon üzerinde önemli etkilere neden olur” dedi.
