Uma nova estrutura maliciosa foi descoberta, apresentando um servidor de comando e controle e um novo malware conhecido como Insekt.
Visão geral técnica do Alchimist Framework
Chamado Alquimista, o framework tem uma interface web escrita em chinês simplificado e implementada em GoLang, e vem equipado com recursos de administração remota. Alchimist foi projetado para direcionar o Windows, macOS e Linux, e é muito semelhante a outro recentemente descoberto, estrutura independente apelidada de Manjusaka.
Vale ressaltar que a campanha consiste em “ferramentas adicionais sob medida, como uma ferramenta de exploração do macOS, um backdoor personalizado e várias ferramentas prontas para uso, como proxies reversos,” Cisco Talos disse em um relatório detalhado.
Os pesquisadores descrevem a estrutura de ataque como uma “nova estrutura de comando e controle de arquivo único”. Foi descoberto em um servidor que tinha uma lista de arquivos ativa no diretório raiz junto com várias ferramentas de pós-exploração. A equipe acredita que o Alchimist é atualmente usado na natureza.
“”Alquimista” é um executável Linux de 64 bits escrito em GoLang e repleto de recursos, incluindo recursos para a interface da web e cargas úteis Insekt RAT compiladas para Windows e Linux. Inserir RATO, um novo trojan Cisco Talos descoberto, é o implante de beacon do Alchimist escrito em GoLang e possui uma variedade de recursos de acesso remoto que podem ser instrumentados pelo servidor Alchimist C2,” explicou o relatório.
Visão geral dos recursos do malware Insekt
Como já mencionado, o framework vem com um novo malware – Inserir.
Insekt é um implante de 64 bits escrito em GoLang, compilado para ambientes Windows e Linux com uma variedade de recursos RAT, segundo o relatório, tudo destinado a executar o comando Alchimist e servidor de controle. O malware tem sete recursos principais, Incluindo:
- Obtendo tamanhos de arquivo.
- Obtendo informações do SO.
- Executando comandos arbitrários via cmd[.]Exe.
- Atualizando o implante Insekt atual.
- Executando comandos arbitrários como um usuário diferente.
- Dormir por períodos de tempo definidos pelo C2.
- Iniciar/parar de fazer capturas de tela.
A descoberta do Alchimist pela Cisco Talos é “mais uma indicação de que os agentes de ameaças estão adotando rapidamente estruturas C2 prontas para uso para realizar suas operações,”O relatório concluiu.
Vale ressaltar que em julho 2022, Os pesquisadores de segurança da Intezer detalharam a descoberta de outra estrutura de malware não detectada anteriormente, projetada especificamente para atingir o ambiente Linux. Chamado Estrutura do Lightning, o malware também apresentou recursos sofisticados, e foi descrito como “uma estrutura complexa desenvolvida para direcionar sistemas Linux”.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: