Οι ερευνητές εντόπισαν ένα νέο post-exploitation attack framework που χρησιμοποιείται από τους χάκερ, που ονομάζεται Manjusaka, το οποίο μπορεί να αναπτυχθεί ως εναλλακτική λύση στο σετ εργαλείων Cobalt Strike που χρησιμοποιείται ευρέως ή παράλληλα για πλεονασμό.

Το Manjusaka χρησιμοποιεί implants γραμμένα στη γλώσσα προγραμματισμού Rust σε πολλαπλές πλατφόρμες, ενώ τα binaries του είναι γραμμένα σε GoLang.

Τα implants RAT (remote access trojan) υποστηρίζουν την εκτέλεση εντολών, την πρόσβαση σε αρχεία, την αναγνώριση δικτύου και πολλά άλλα, έτσι ώστε οι χάκερ να μπορούν να το χρησιμοποιούν για τους ίδιους επιχειρησιακούς στόχους με το Cobalt Strike.

Δείτε επίσης: VMware προς admins: Διορθώστε αμέσως το κρίσιμο auth bypass bug

Εκστρατεία και ανακάλυψη

Το Manjusaka ανακαλύφθηκε από ερευνητές στο Cisco Talos, οι οποίοι κλήθηκαν να διερευνήσουν μια μόλυνση με Cobalt Strike σε έναν πελάτη, έτσι οι απειλητικοί φορείς χρησιμοποίησαν και τα δύο frameworks σε εκείνη την περίπτωση.

Η μόλυνση προήλθε μέσω ενός κακόβουλου εγγράφου που μεταμφιέζεται ως αναφορά για ένα κρούσμα COVID-19 στην πόλη Golmud στο Θιβέτ για εντοπισμό επαφών.

Το έγγραφο παρουσίαζε μια μακροεντολή VBA που εκτελείται μέσω του rundll32.exe για να ανακτήσει ένα payload δεύτερου σταδίου, το Cobalt Strike, και να το φορτώσει στη μνήμη.

Δείτε επίσης: Πώς το κακόβουλο λογισμικό ξεγελάει χρήστες και προγράμματα antivirus

Ωστόσο, αντί να χρησιμοποιούν απλώς το Cobalt Strike ως το κύριο toolkit επίθεσης, το χρησιμοποίησαν για τη λήψη των implants Manjusaka, τα οποία ανάλογα με την αρχιτεκτονική του host, μπορεί να είναι αρχεία EXE (Windows) ή ELF (Linux).

Δυνατότητες του Manjusaka

Και οι δύο εκδόσεις του implant για Windows και Linux διαθέτουν σχεδόν τις ίδιες δυνατότητες και εφαρμόζουν παρόμοιους μηχανισμούς επικοινωνίας.

Τα implants περιλαμβάνουν ένα RAT και ένα file management module, καθένα από τα οποία διαθέτει ξεχωριστές δυνατότητες.

Το RAT υποστηρίζει αυθαίρετη εκτέλεση εντολών μέσω “cmd.exe”, συλλέγει credentials που είναι αποθηκευμένα σε web browsers, SSID WiFi και κωδικούς πρόσβασης και ανακαλύπτει network connections (TCP και UDP), ονόματα λογαριασμών, κ.λπ.

Επιπλέον, μπορεί να κλέψει τα Premiumsoft Navicat credentials, να τραβήξει screenshots της τρέχουσας επιφάνειας εργασίας, να παραθέσει τις διαδικασίες που εκτελούνται και ακόμη και να ελέγξει τα hardware specs και τα θερμικά χαρακτηριστικά.

Δείτε επίσης: Πορτοφόλια Solana παραβιάστηκαν σε hack εκατομμυρίων δολαρίων

Το file management module μπορεί να εκτελέσει απαρίθμηση αρχείων, να δημιουργήσει directories, να αποκτήσει full file paths, να διαβάσει ή να γράψει τα περιεχόμενα των αρχείων, να διαγράψει αρχεία ή directories και να μετακινήσει αρχεία μεταξύ τοποθεσιών.

Αυτήν τη στιγμή, φαίνεται ότι το Manjusaka έχει αναπτυχθεί προσωρινά για δοκιμές, επομένως η ανάπτυξή του πιθανότατα δεν είναι στις τελικές του φάσεις. Ωστόσο, το νέο framework είναι ήδη αρκετά ισχυρό για χρήση σε πραγματικό κόσμο.

Η Cisco σημειώνει ότι οι ερευνητές της βρήκαν ένα promotional post σε μια διαφημιστική ανάρτηση από τον malware author, που απεικονίζει components που δεν είχαν εφαρμοστεί στις εκδόσεις του δείγματος.

Αυτό σημαίνει ότι δεν είναι διαθέσιμα στη “δωρεάν” έκδοση που χρησιμοποιείται στην αναλυόμενη επίθεση ή δεν έχουν ολοκληρωθεί ακόμη από τον συγγραφέα.

Πηγή πληροφοριών: bleeoingcomputer.com