Frame

Kinesiske hackere bruger ny Cobalt Strike-lignende angrebsplatform

Forskere har observeret en ny post-udnyttelse af en angrebsplatform, navngivet Manjusaka, som kan anvendes som et alternativ til det bredt misbrugte Cobalt Strike værktøjssæt eller parallelt med det til redundans.

Manjusaka bruger implantater skrevet i programmeringssproget Rust på tværs af platforme, mens dets binære filer er skrevet i den lige så alsidige GoLang.

Dens Remote Access Trojan (RAT) implantater understøtter kommandoudførelse, filadgang, netværksrekognoscering og mere, så hackere kan bruge det til de samme operationelle mål som Cobalt Strike.

Kampagne og opdagelse

Manjusaka blev opdaget af forskere ved Cisco Talos, der blev kaldt til at undersøge en Kobolt Strike-infektion på en kunde, så trusselsaktørerne brugte begge rammer i dette tilfælde.

Infektionen kom via et ondsindet dokument maskeret som en rapport om et COVID-19-tilfælde i Golmud City i Tibet til kontaktopsporing.

Dokumentet indeholdt en VBA-makro, der udføres gennem rundll32.exe at hente et anden trins nyttelast, Cobalt Strike, og indlæse den i hukommelsen. Men i stedet for bare at bruge Cobalt Strike som deres primære angrebsværktøjssæt, brugte de det til at downloade Manjusaka-implantater, som afhængigt af værtens arkitektur kan være enten EXE (Windows) eller ELF-filer (Linux).

“Cisco Talos opdagede for nylig en ny angrebsramme kaldet “Manjusaka”, der har potentiale til at blive udbredt på tværs af trusselslandskabet. Denne ramme annonceres som en efterligning af Cobalt Strike-rammen,”advarer Cisco Talos-forskerne.

Manjusaka kapaciteter

Både Windows- og Linux-versioner af implantatet har næsten de samme muligheder og implementerer lignende kommunikationsmekanismer.

Implantaterne består af en RAT og et filhåndteringsmodul, der hver især har forskellige muligheder.

RAT understøtter vilkårlig kommandoudførelse via “cmd.exe”, indsamler legitimationsoplysninger, der er gemt i webbrowsere, WiFi SSID og adgangskoder, og opdager netværksforbindelser (TCP og UDP), kontonavne, lokale grupper, etc.

Desuden kan det stjæle Premiumsoft Navicat-legitimationsoplysninger, fange skærmbilleder af det aktuelle skrivebord, liste kørende processer og endda kontrollere hardwarespecifikationer og termik.

Filhåndteringsmodulet kan udføre filopregning, oprette mapper, få fulde filstier, læse eller skrive filindhold, slette filer eller mapper og flytte filer mellem placeringer.

Lige nu ser det ud til, at Manjusaka foreløbigt er indsat i naturen til test, så dens udvikling er sandsynligvis ikke i sine sidste faser. Den nye ramme er dog allerede stærk nok til brug i den virkelige verden.

CISCO bemærker, at dets analytikere fandt et designdiagram på et salgsfremmende indlæg af malware-forfatteren, der skildrer komponenter, der ikke blev implementeret i de samplede versioner.

Det betyder, at de ikke er tilgængelige i den “gratis” version, der bruges i det analyserede angreb, eller ikke er afsluttet af forfatteren endnu.

“Denne nye angrebsplatform indeholder alle de funktioner, som man kunne forvente af et implantat, men det er skrevet på de mest moderne og bærbare programmeringssprog.

Udvikleren af platformen kan nemt integrere nye målplatforme som MacOSX eller mere eksotiske varianter af Linux som dem, der kører på indlejrede enheder.

Det faktum, at udvikleren åbnede en fuldt funktionel version af C2 tilgængelighed, øger chancerne for en bredere åbning af denne platform til hackerne.

Lokkedokumentet er skrevet på kinesisk, og det samme gælder for malwarens C2-menuer og konfigurationsindstillinger, så det er sikkert at antage, at dets udviklere er baseret i Kina. Talos ‘OSINT indsnævrede deres placering til Guangdong-regionen.

Hvis det virkelig er tilfældet, kan vi se Manjusaka indsat i kampagner fra flere kinesiske APT’er snart, da trusselsgrupper fra landet er kendt for at dele et fælles værktøjssæt.

For nylig rapporterede vi om fremkomsten af et værktøjssæt efter udnyttelse ved navn Brute Ratel, som også var beregnet til at erstatte de nu ældede og lettere detekterbare revnede versioner af Cobalt Strike.

Hackerne forventes at fortsætte med at bevæge sig væk fra Cobalt Strike gradvist, og mange alternative angrebsplatforme vil sandsynligvis dukke op, forsøger at vokse ind i den nye markedsmulighed.

Kilde: BleepingComputers

Foto: Pexels

Scroll til toppen