È stato scoperto un nuovo framework dannoso, caratterizzato da un server di comando e controllo e un nuovo malware noto come Insekt.
Panoramica tecnica del quadro dell'alchimista
Chiamato Alchimista, il framework ha un'interfaccia web scritta in cinese semplificato e implementata in GoLang, ed è dotato di funzioni di amministrazione remota. Alchimist è stato progettato per prendere di mira Windows, macOS e Linux, ed è molto simile a un altro scoperto di recente, struttura autonoma soprannominata Manjusaka.
È interessante notare che la campagna consiste in "strumenti aggiuntivi su misura come uno strumento di sfruttamento di macOS, una backdoor personalizzata e più strumenti standard come i proxy inversi,” ha detto Cisco Talos una relazione dettagliata.
I ricercatori descrivono il framework di attacco come un "nuovo framework di comando e controllo a file singolo". È stato scoperto su un server che aveva un elenco di file attivo nella directory principale insieme a diversi strumenti di post-sfruttamento. Il team ritiene che Alchimist sia attualmente utilizzato in natura.
"”Alchimista” è un eseguibile Linux a 64 bit scritto in GoLang e ricco di risorse tra cui risorse per l'interfaccia web e payload Insekt RAT compilati per Windows e Linux. Insekt RAT, un nuovo trojan scoperto da Cisco Talos, è l'impianto beacon di Alchimist scritto in GoLang e ha una varietà di funzionalità di accesso remoto che possono essere strumentate dal server Alchimist C2,” ha spiegato il rapporto.
Insekt Malware Panoramica delle funzionalità
Come già accennato, il framework viene fornito con un nuovo malware – Insekt.
Insekt è un impianto a 64 bit scritto in GoLang, compilato per ambienti Windows e Linux con una varietà di funzionalità RAT, dice il rapporto, tutto pensato per eseguire il comando Alchimist e il server di controllo. Il malware ha sette capacità principali, Compreso:
- Ottenere le dimensioni dei file.
- Ottenere informazioni sul sistema operativo.
- Esecuzione di comandi arbitrari tramite cmd[.]exe.
- Aggiornamento dell'attuale impianto Insekt.
- Esecuzione di comandi arbitrari come utente diverso.
- Dormire per periodi di tempo definiti dalla C2.
- Avvia/interrompi l'acquisizione di schermate.
La scoperta di Alchimist da parte di Cisco Talos è "l'ennesima indicazione che gli attori delle minacce stanno adottando rapidamente framework C2 standard per svolgere le loro operazioni,"Conclude il rapporto.
È interessante notare che a luglio 2022, I ricercatori della sicurezza di Intezer hanno descritto in dettaglio la scoperta di un altro framework malware precedentemente non rilevato, progettato specificamente per colpire l'ambiente Linux. Chiamato Quadro fulmineo, il malware ha anche mostrato capacità sofisticate, ed è stato descritto come "un intricato framework sviluppato per prendere di mira i sistemi Linux".
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: