Ngày 20/09/22
Một bộ mã nguồn độc hại mới Command and Control (C2) chưa từng bị phát hiện trước đây có tên là Alchimist có thể đang được sử dụng rộng rãi để tấn công vào hệ thống Windows, macOS và Linux. "Alchimist C2 có giao diện web được viết bằng tiếng Trung hoa giản thể và có thể truyền tải tập tin, thiết lập kết nối từ xa, chạy các tập tin tải xuống từ xa, chụp ảnh màn hình, thực hiện mã shellcodes từ xa và chạy các lệnh tùy ý", Cisco Talos cho biết trong một báo cáo chia sẻ với The Hacker News.
Được viết bằng ngôn ngữ lập trình GoLang (or Go, designed by Google), Alchimist được bổ sung bởi một thiết bị cấy mã gọi là Insekt, đi kèm với các tính năng truy cập từ xa có thể được hỗ trợ bởi máy chủ C2.
Việc phát hiện ra Alchimist và các loại phần mềm cấy ghép độc hại của nó diễn ra ba tháng sau khi Talos trình bày chi tiết về một bộ mã nguồn độc lập khác có tên là Manjusaka, vốn được gọi là "anh em ruột của Sliver và Cobalt Strike".
Thú vị hơn nữa, cả Manjusaka và Alchimist đều có các chức năng tương tự nhau, mặc dù có sự khác biệt trong cách triển khai khi nói đến giao diện web.
Các nhà nghiên cứu của Talos nói với The Hacker News: "Sự gia tăng của các mã nguồn sẵn sàng hoạt động như Manjusaka và Alchimist là một dấu hiệu cho thấy sự phổ biến của các công cụ bị bẽ khóa (post compromise tools)". "Có thể là do tỷ lệ dùng và bị phát hiện cao của các bộ mã nguồn như Cobalt Strike và Sliver, các tin tặc đang phát triển và áp dụng các công cụ mới lạ như Alchimist có khả năng hỗ trợ nhiều chức năng và nhiều giao thức truyền tin."
Bảng điều khiển Alchimist C2 có khả năng tạo ra các tập tin tải xuống ở giai đoạn đầu, bao gồm mã Powershell và wget cho Windows và Linux, có khả năng cho phép các tin tặc tăng cường chuỗi lây nhiễm của họ để phân phối tập tin nhị phân Insekt RAT. Sau đó, các mã độc hại này có thể được nhúng vào một tập tin word (maldoc) đính kèm vào một email lừa đảo mà khi mở ra sẽ tải xuống và khởi chạy backdoor trên máy bị nhiễm.
Mặc dù Alchimist đã được sử dụng là sự kết hợp của Insekt RAT và các công cụ mã nguồn mở khác để thực hiện các hoạt động sau khi lây nhiễm, phương thức truyền tải của tin tặc vẫn là một điều gì đó bí ẩn.
“Vectơ phân phối và quảng cáo cho Alchimist cũng không rõ - có thể là nằm ở các diễn đàn ngầm, chợ mua bán tài khoản hoặc các mã nguồn mở như trường hợp của Manjusaka,” Talos nói. "Vì Alchimist là một tập bộ mã nguồn C2, nên rất khó để gán việc sử dụng nó cho một tác nhân duy nhất chẳng hạn như các tác giả, các cuộc tấn công có chủ đích (APT) hoặc các tổ chức tội phạm."
Các trojan được trang bị các tính năng thường có trong các cửa hậu loại này, cho phép phần mềm độc hại lấy thông tin hệ thống, chụp ảnh màn hình, chạy các lệnh tùy ý và tải xuống các tập tin từ xa, và nhiều tính năng khác.
Hơn nữa, phiên bản Linux của Insekt có khả năng liệt kê nội dung của thư mục ".ssh" và thậm chí thêm các khóa SSH mới vào tập tin "~ / .ssh / allow_keys" để tạo điều kiện truy cập từ xa qua SSH.
Có một dấu hiệu cho thấy các tin tặc đằng sau hoạt động này cũng đưa macOS vào tầm ngắm của họ, Talos cho biết họ đã phát hiện ra một mã độc hại Mach-O khai thác lỗ hổng PwnKit có mã nhận dạng (CVE-2021-4034) để đạt được đặc quyền leo thang. "Tuy nhiên, tiện ích [pkexec] này không được cài đặt trên MacOSX theo mặc định, có nghĩa là việc nâng cấp các đặc quyền không được đảm bảo," Talos lưu ý.
Các chức năng chồng chéo của Manjusaka và Alchimist cho thấy một bước tiến trong việc sử dụng bộ mã nguồn C2 để quản trị, ra lệnh và điều khiển từ xa.
Các nhà nghiên cứu cho biết: “tin tặc có được quyền truy cập đặc quyền vào máy của nạn nhân giống như có một con dao của Quân đội Thụy Sĩ, cho phép thực hiện các lệnh hoặc mã khai thác lỗ hỏng phần mềm tùy ý trên máy của nạn nhân, dẫn đến những ảnh hưởng đáng kể cho các tổ chức bị tấn công,” các nhà nghiên cứu cho biết.
Nguồn: httpsss://thehackernews.com/2022/10/new-chinese-malware-attack-framework.html