Cisco Talos: новое китайское насекомое атакует Windows и Linux

Windows Linux Cisco Talos Alchimist Insekt C&C-сервер RAT PowerShell Golang SSH прокси
Cisco Talos: новое китайское насекомое атакует Windows и Linux
Windows Linux Cisco Talos Alchimist Insekt C&C-сервер RAT PowerShell Golang SSH прокси

Фреймворк Alchimist на китайском языке выпускает крысу-насекомое для автоматизированных атак.

Исследователи кибербезопасности Cisco Talos обнаружили новую кампанию Alchimist, которая нацелена на системы Windows и Linux. Фреймворк Alchimist содержит 64-битные исполняемые файлы, написанные на GoLang, который упрощает совместимость с различными операционными системами.

Alchimist предлагает веб-интерфейс с использованием упрощенного китайского языка, и он очень похож на фреймворк Manjusaka , который становится популярным среди китайских хакеров.

Alchimist предоставляет операторам простую в использовании платформу, которая позволяет генерировать и настраивать полезные нагрузки на зараженных устройствах для удаленного создания снимков экрана, выполнения произвольных команд и удаленного выполнения шелл-кода.

Alchimist позволяет создавать пользовательские механизмы заражения для сброса RAT-трояна Insekt на устройства и фрагменты PowerShell-кода (для Windows) и wget (для Linux) для развертывания трояна.

Адрес C&C-сервера жестко привязан к сгенерированному имплантату и содержит самозаверенный сертификат, созданный во время компиляции. Адрес C&C-сервера пингуется 10 раз в секунду. При этом, если все попытки установить соединение провалились, вредоносная программа повторяет попытку через час.

В то время как серверы Alchemist доставляют команды для выполнения, именно имплантат Insekt выполняет их в зараженных системах Windows и Linux. Insekt может выполнять следующие действия:

  • Получить размеры файлов;
  • Получить информацию об ОС;
  • Запускать произвольные команды через cmd.exe или bash;
  • Обновить текущий имплантат Insekt;
  • Запускать произвольные команды от имени другого пользователя;
  • Переходить в «режим сна» в течение периодов, установленных C&C;
  • Создавать снимки экрана;
  • Выступать в качестве прокси (используя SOCKS5);
  • Манипулировать SSH-ключами;
  • Выполнять сканирование портов и IP-адресов;
  • Записывать или распаковывать файлы на диск;
  • Выполнять шелл-код на хосте;
  • Создавать новых пользователей
  • Отключать и настраивать брандмауэр.

Вариант Insekt для Linux также имеет функцию вывода списка содержимого каталога «.ssh» в домашнем каталоге жертвы и добавления новых SSH-ключей в файл authorised_Keys. Используя это, злоумышленник может взаимодействовать с устройством жертвы с C&C через SSH.

Alchimist — это еще одна возможность атаки для киберпреступников, у которых нет знаний или возможностей для создания всех компонентов, необходимых для изощренных кибератак.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!