Siber güvenlik araştırmacıları, Windows, Linux ve macOS sistemlerini hedefleyen saldırılarda aktif olarak kullanılmış gibi görünen 'Alchimist' adlı yeni bir saldırı ve C2 çerçevesi keşfettiler.
Çerçeve ve tüm dosyaları, farklı işletim sistemleri arasında çapraz uyumluluğu çok daha kolay hale getiren bir programlama dili olan Golang'da yazılmış 64 bit yürütülebilir ürünlerdir.
Alchimist, basitleştirilmiş Çin dilini kullanarak web tabanlı bir arayüz sunuyor ve Çinli hackerlar arasında popüler olan yakın zamanda ortaya çıkan bir sömürü sonrası saldırı çerçevesi olan Manjusaka'ya çok benziyor.
Her iki çerçevenin her ikisini de keşfeden Cisco Talos araştırmacıları benzerliklerini vurguluyor, ancak farklı yazarların bunları geliştirdiğini çıkarmak için yeterli teknik farklılık olduğunu açıklıyor.
Alchimist, operatörlere, enfekte cihazlara yerleştirilen yükleri uzaktan ekran görüntüleri almak, keyfi komutlar çalıştırmak ve uzaktan kabuk kodu yürütme gerçekleştirmek için enfekte cihazlara yerleştirilen yükleri oluşturmalarını ve yapılandırmalarını sağlayan kullanımı kolay bir çerçeve sağlar.
Çerçeve, 'Inerkt' uzaktan erişim truva atını (sıçan) cihazlara bırakmak için özel enfeksiyon mekanizmalarını destekler ve sıçanların dağıtım için PowerShell (Windows için) ve WGY (Linux için) kod snippet'leri üreterek bilgisayar korsanlarına yardımcı olur.
Inerkt yükü, C2 IP/URL, platform (Windows veya Linux), iletişim protokolü (TLS, SNI, WSS/WS) gibi çeşitli parametreler kullanılarak Alchimist'in arayüzünde yapılandırılabilir ve Daemon olarak çalışıp çalışmadığı.
C2 adresi, oluşturulan implant için sabit kodlanmıştır ve derleme sırasında oluşturulan kendi kendine imzalanmış bir sertifika içerir. C2 saniyede her on kez ping atılır ve bir bağlantı için tüm girişimler başarısız olursa, kötü amaçlı yazılım bir saat sonra yeniden yeniden toplanır.
Alchemist C2 sunucuları yürütülecek komutlar sunarken, bunları enfekte Windows ve Linux sistemlerinde gerçekleştiren Inerkt implantıdır.
Bir Inerkt implantının gerçekleştirebileceği kötü niyetli davranışlar şunları içerir:
Ek olarak, Insekt bir proxy olarak hizmet edebilir (SOCKS5 kullanarak), SSH tuşlarını manipüle edebilir, bağlantı noktası ve IP taramaları gerçekleştirebilir, diske dosyaları yazabilir veya açabilir ve ana bilgisayarda kabuk kodunu yürütebilir.
Raporda, "Insekt'in Linux varyantı, kurbanın ana dizinindeki“ .ssh ”dizin içeriğini listeleme işlevselliğine sahip ve Jotsised_Keys dosyasına yeni SSH anahtarları ekliyor."
"Bu özelliği kullanarak saldırgan, kurbanın makinesiyle C2'den SSH üzerinden iletişim kurabilir."
Alchimist operatörleri ayrıca implanta kullanıcı oluşturma, yönetici kullanıcı anketi, terminal aktivasyonu ve güvenlik duvarı devre dışı bırakma ve yapılandırma ile ilgili önceden belirlenmiş komutlar gönderebilir.
Insikt henüz macOS üzerinde çalışmıyor, bu nedenle Alchimist, CVE-2021-4034 için bir istismar içeren Golang'da yazılmış 64 bit yürütülebilir bir Mach-O dosyası kullanarak bu boşluğu kapsıyor.
Bu, Polkit'in PKEXEC yardımcı programındaki bir ayrıcalık artış kusurudur, ancak çerçeve onu hedefe enjekte etmeyecektir, yani saldırının işe yaraması için, bilgisayar korsanlarının yardımcı programı hedef makineye yüklemesi gerekir.
Alchimist, Syste'a PKEEXEC kurulduğu sürece Linux platformu için de aynı istismar sunar.
Alchimist, sofistike siber saldırılar için gerekli tüm bileşenleri inşa etmek için bilgi veya kapasiteye sahip olmayan siber suçluların mevcut bir başka saldırı çerçevesidir.
Ne yazık ki, bu hazır çerçeveler yüksek kaliteli, özellikler açısından zengin, kaçınma tespitinde iyi ve hedeflere implantları düşürmede etkilidir.
Bununla birlikte, operasyonel giderlerini en aza indirmek ve diğer bilgisayar korsanlarının atıftan kaçınmak için rastgele kötü niyetli trafiğiyle harmanlamak isteyen daha gelişmiş tehdit aktörleri için bile faydalıdırlar.
Resmi Olmayan WhatsApp Android Uygulaması Kullanıcıların Hesaplarını Çalmaya Yakalandı
Hackerlar Buzlu Kireçli Yazılım Saldırılarının Arkasındaki Teslimat Taktiklerini Çeşitlendirin
Sahte yetişkin siteleri fidye yazılımı olarak gizlenmiş veri sileceklerini itin
Geri dönme kimlik avı saldırıları sosyal mühendislik taktiklerini geliştiriyor
Lofygang Hackers, Discord, NPM hakkında kimlik bilgisi çalan bir işletme kurdu
Kaynak: Bleeping Computer