Windows Linux Cisco Talos Alchimist Insekt C&C-сервер RAT PowerShell Golang SSH прокси
Фреймворк Alchimist на китайском языке выпускает крысу-насекомое для автоматизированных атак.
Исследователи кибербезопасности В компании Cisco есть подразделение Talos, которое занимается исследованиями в области угроз информационной безопасности»
data-html=»true» data-original-title=»Cisco Talos»
>Cisco Talos
обнаружили новую кампанию
Alchimist, которая нацелена на системы Windows и Linux — это Unix-подобная операционная система (ОС) с открытым исходным кодом, разработанная сообществом для компьютеров, серверов, мейнфреймов, мобильных устройств и встроенных устройств. Linux поддерживается почти на всех основных компьютерных платформах, включая x86, ARM и SPARC , что делает его одной из наиболее широко поддерживаемых операционных систем.»
data-html=»true» data-original-title=»Linux»
>Linux. Фреймворк Alchimist содержит 64-битные исполняемые файлы, написанные на GoLang, который упрощает совместимость с различными операционными системами.
Alchimist предлагает веб-интерфейс с использованием упрощенного китайского языка, и он очень похож на
фреймворк Manjusaka , который становится популярным среди китайских хакеров.
Alchimist предоставляет операторам простую в использовании платформу, которая позволяет генерировать и настраивать полезные нагрузки на зараженных устройствах для удаленного создания снимков экрана, выполнения произвольных команд и удаленного выполнения шелл-кода.
Alchimist позволяет создавать пользовательские механизмы заражения для сброса
Средство удаленного администрирования (Remote Administration Tool, RAT) — инструмент для несанкционированного доступа к системе удаленного пользователя. RAT позволяет видеть рабочий стол удаленного компьютера и контролировать его при помощи мыши или клавиатуры.
«
data-html=»true» data-original-title=»RAT»
>RAT-трояна Insekt на устройства и фрагменты
Windows PowerShell — оболочка командной строки на основе задач и языков сценариев. Она специально разработана для администрирования систем. Встроенная в .NET Framework, оболочка Windows PowerShell помогает ИТ-специалистам и опытным пользователям контролировать и автоматизировать процесс администрирования операционной системы Windows и приложений, работающих в системе Windows.
«
data-html=»true» data-original-title=»PowerShell»
>PowerShell-кода (для Windows) и wget (для Linux) для развертывания трояна.
Адрес C&C-сервера жестко привязан к сгенерированному имплантату и содержит самозаверенный сертификат, созданный во время компиляции. Адрес C&C-сервера пингуется 10 раз в секунду. При этом, если все попытки установить соединение провалились, вредоносная программа повторяет попытку через час.
В то время как серверы Alchemist доставляют команды для выполнения, именно имплантат Insekt выполняет их в зараженных системах Windows и Linux. Insekt может выполнять следующие действия:
Получить размеры файлов;
Получить информацию об ОС;
Запускать произвольные команды через cmd.exe или bash;
Обновить текущий имплантат Insekt;
Запускать произвольные команды от имени другого пользователя;
Переходить в «режим сна» в течение периодов, установленных C&C;
Создавать снимки экрана;
Выступать в качестве прокси (используя SOCKS5);
Манипулировать SSH-ключами;
Выполнять сканирование портов и IP-адресов;
Записывать или распаковывать файлы на диск;
Выполнять шелл-код на хосте;
Создавать новых пользователей
Отключать и настраивать брандмауэр.
Вариант Insekt для Linux также имеет функцию вывода списка содержимого каталога «.ssh» в домашнем каталоге жертвы и добавления новых SSH-ключей в файл authorised_Keys. Используя это, злоумышленник может взаимодействовать с устройством жертвы с C&C через SSH.
Alchimist — это еще одна возможность атаки для киберпреступников, у которых нет знаний или возможностей для создания всех компонентов, необходимых для изощренных кибератак.