Araştırmacılar, Manjusaka adlı vahşi doğada kullanılan ve yaygın olarak istismar edilen kobalt grev araç setine alternatif olarak konuşlandırılabilen veya yedeklilik için ona paralel olarak kullanılan yeni bir sömürme sonrası saldırı çerçevesi gözlemlediler.
Manjusaka, platformlar arası pas programlama dilinde yazılmış implantlar kullanırken, ikili dosyaları eşit derecede çok yönlü Golang'da yazılır.
Sıçan (uzaktan erişim Truva atı) implantları komut yürütmeyi, dosya erişimini, ağ keşfi ve daha fazlasını destekler, böylece bilgisayar korsanları bunu Cobalt Strike ile aynı operasyonel hedefler için kullanabilir.
Manjusaka, bir müşteri üzerinde kobalt grev enfeksiyonu araştırması için çağrılan Cisco Talos'taki araştırmacılar tarafından keşfedildi, böylece tehdit aktörleri her iki çerçeveyi de kullandı.
Enfeksiyon, temas izleme için Tibet'teki Golmud City'deki bir Covid-19 davası hakkında bir rapor olarak maskelenen kötü niyetli bir belge ile geldi.
Belgede, ikinci aşamalı bir yük, kobalt grevini almak ve belleğe yüklemek için Rundll32.exe aracılığıyla yürütülen bir VBA makrosuna sahipti.
Bununla birlikte, sadece birincil saldırı araç seti olarak Cobalt Strike'ı kullanmak yerine, ana bilgisayar mimarisine bağlı olarak EXE (Windows) veya ELF dosyaları (Linux) olabilen Manjusaka implantlarını indirmek için kullandılar.
Cisco Talos araştırmacıları, "Cisco Talos yakın zamanda" Manjusaka "adlı yeni bir saldırı çerçevesi keşfetti ve Wild'da tehdit manzarasında yaygın olma potansiyeline sahip. Bu çerçeve, kobalt grev çerçevesinin taklidi olarak ilan edildi."
İmplantın hem Windows hem de Linux sürümleri neredeyse aynı özelliklere sahiptir ve benzer iletişim mekanizmalarını uygular.
İmplantlar, her biri farklı özelliklere sahip bir sıçan ve bir dosya yönetimi modülü içerir.
Sıçan, “cmd.exe” yoluyla keyfi komut yürütmeyi destekler, web tarayıcılarında, wifi ssid ve şifrelerde depolanan kimlik bilgilerini toplar ve ağ bağlantılarını (TCP ve UDP), hesap adlarını, yerel grupları vb.
Ayrıca, premiumsoft navicat kimlik bilgilerini çalabilir, geçerli masaüstünün ekran görüntülerini yakalayabilir, çalışma işlemlerini listeleyebilir ve hatta donanım özelliklerini ve termalleri kontrol edebilir.
Dosya yönetimi modülü dosya numaralandırması gerçekleştirebilir, dizinler oluşturabilir, tam dosya yolları elde edebilir, dosya içeriğini okuyabilir veya yazabilir, dosyaları veya dizinleri silebilir ve dosyaları konumlar arasında taşıyabilir.
Şu anda, Manjusaka, test için vahşi doğada geçici olarak konuşlandırılıyor, bu yüzden gelişimi muhtemelen son aşamalarında değil. Bununla birlikte, yeni çerçeve gerçek dünyadaki kullanım için yeterince güçlüdür.
Cisco, araştırmacılarının, kötü amaçlı yazılım yazarı tarafından bir tanıtım yayınında bir tasarım diyagramı bulduğunu ve örneklenen sürümlerde uygulanmayan bileşenleri tasvir ettiğini belirtiyor.
Bu, analiz edilen saldırıda kullanılan veya henüz yazar tarafından tamamlanmamış olan “ücretsiz” versiyonda bulunmadıkları anlamına gelir.
“Bu yeni saldırı çerçevesi, bir implanttan bekleyebileceği tüm özellikleri içerir, ancak en modern ve taşınabilir programlama dillerinde yazılmıştır.
Çerçevenin geliştiricisi, MacOSX veya Linux'un daha egzotik lezzetleri gibi yeni hedef platformları gömülü cihazlarda çalışanlar olarak kolayca entegre edebilir.
Geliştiricinin mevcut C2'nin tamamen işlevsel bir versiyonunu yapması, bu çerçevenin kötü niyetli aktörler tarafından daha geniş bir şekilde benimsenme şansını arttırıyor. ” - Cisco Talos
LURE belgesi Çince yazılmıştır ve aynı şey kötü amaçlı yazılımların C2 menüleri ve yapılandırma seçenekleri için de geçerlidir, bu nedenle geliştiricilerinin Çin'de bulunduğunu varsaymak güvenlidir. Talos'un Osint'i konumlarını Guangdong bölgesine daralttı.
Eğer gerçekten durum buysa, Manjusaka'nın yakında birden fazla Çin APT kampanyalarında konuşlandırıldığını görebiliriz, çünkü ülkeden tehdit gruplarının ortak bir araç setini paylaştığı biliniyor.
Son zamanlarda, şimdi yaşlı ve daha kolay tespit edilebilir çatlak sürümlerinin yerini almayı amaçlayan 'Brute Ratel' adlı bir sömürü sonrası araç setinin yükselişini bildirdik.
Tehdit aktörlerinin Kobalt Grevinden uzaklaşmaya devam etmeleri bekleniyor ve yeni pazar fırsatına girmeye çalışarak birçok alternatif saldırı çerçevesi ortaya çıkacak.
Rus organizasyonları New Woody Rat Kötü Yazılımlarla Saldırdı
Yeni Zuorat Kötü Yazılım Hedefleri Kuzey Amerika, Avrupa'da Soho Yönlendiricileri
Yeni kimlik avı saldırısı, cihazları kobalt grevine bulaştı
Ukrayna'da Kobalt Strike Dağıtmak İçin Kullanılan Sahte Antivirüs Güncellemeleri
35.000 kod depoları hacklenmedi - ancak kötü amaçlı yazılım sunmak için klonlar taşkın github
Kaynak: Bleeping Computer