Un nouveau framework malveillant a été découvert, mettant en vedette un serveur de commande et de contrôle et un nouveau malware appelé Insekt.
Présentation technique du framework Alchimist
Appelé Alchimiste, le framework a une interface web écrite en chinois simplifié et implémentée en GoLang, et est équipé de fonctionnalités d'administration à distance. Alchimist a été conçu pour cibler Windows, macOS et Linux, et est très similaire à un autre récemment découvert, cadre autonome surnommé Manjusaka.
Il est à noter que la campagne consiste en "des outils supplémentaires sur mesure tels qu'un outil d'exploitation macOS, une porte dérobée personnalisée et plusieurs outils prêts à l'emploi tels que les proxys inverses,» a déclaré Cisco Talos dans un rapport détaillé.
Les chercheurs décrivent le cadre d'attaque comme un "nouveau cadre de commande et de contrôle à fichier unique". Il a été découvert sur un serveur qui avait une liste de fichiers active sur le répertoire racine avec plusieurs outils de post-exploitation. L'équipe pense qu'Alchimist est actuellement utilisé dans la nature.
"”Alchimiste” est un exécutable Linux 64 bits écrit en GoLang et rempli d'actifs, y compris des ressources pour l'interface Web et des charges utiles Insekt RAT compilées pour Windows et Linux. Insecte RAT, un nouveau cheval de Troie Cisco Talos découvert, est l'implant de balise d'Alchimist écrit en GoLang et possède une variété de capacités d'accès à distance qui peuvent être instrumentées par le serveur Alchimist C2," explique le rapport.
Insekt Malware Aperçu des capacités
Comme déjà mentionné, le framework est livré avec un nouveau malware – Encart.
Insekt est un implant 64 bits écrit en GoLang, compilé pour les environnements Windows et Linux avec une variété de capacités RAT, le rapport, tous destinés à exécuter le serveur de commande et de contrôle Alchimist. Le logiciel malveillant a sept capacités principales, Y compris:
- Obtention des tailles de fichiers.
- Obtenir des informations sur le système d'exploitation.
- Exécuter des commandes arbitraires via cmd[.]exe.
- Mise à niveau de l'implant Insekt actuel.
- Exécuter des commandes arbitraires en tant qu'utilisateur différent.
- Dormir pendant des périodes définies par le C2.
- Démarrer/arrêter de prendre des captures d'écran.
La découverte d'Alchimist par Cisco Talos est "une autre indication que les acteurs de la menace adoptent rapidement des cadres C2 prêts à l'emploi pour mener à bien leurs opérations".,»Le rapport conclut.
Il est à noter qu'en juillet 2022, Les chercheurs en sécurité d'Intezer ont détaillé la découverte d'un autre framework de logiciels malveillants jusque-là non détecté, spécialement conçu pour cibler l'environnement Linux. Appelé Cadre Lightning, le logiciel malveillant présentait également des capacités sophistiquées, et a été décrit comme "un cadre complexe développé pour cibler les systèmes Linux".
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: