Một khung lệnh và điều khiển (C2) không có giấy tờ trước đây có tên là Alchimist có khả năng đang được sử dụng trong tự nhiên để nhắm mục tiêu vào các hệ thống Windows, macOS và Linux.
"Alchimist C2 có giao diện web được viết bằng tiếng Trung giản thể và có thể tạo tải trọng được định cấu hình, thiết lập các phiên từ xa, triển khai tải trọng cho các máy từ xa, chụp ảnh màn hình, thực hiện thực thi shellcode từ xa và chạy các lệnh tùy ý", Cisco Talos cho biết trong một báo cáo được chia sẻ với The Hacker News.
Được viết bằng GoLang, Alchimist được bổ sung bởi một cấy ghép đèn hiệu được gọi là Insekt, đi kèm với các tính năng truy cập từ xa có thể được thiết bị bởi máy chủ C2.
Việc phát hiện ra Alchimist và các loại cấy ghép phần mềm độc hại của nó diễn ra ba tháng sau khi Talos cũng nêu chi tiết một khuôn khổ khép kín khác được gọi là Manjusaka, được quảng cáo là "anh chị em Trung Quốc của Sliver và Cobalt Strike. "
Thú vị hơn nữa, cả Manjusaka và Alchimist đều có các chức năng tương tự nhau, bất chấp sự khác biệt trong việc triển khai khi nói đến giao diện web.
Bảng điều khiển Alchimist C2 tiếp tục có khả năng tạo powershell và wget đoạn mã cho Windows và Linux, có khả năng cho phép kẻ tấn công xác định chuỗi lây nhiễm của họ để phân phối tải trọng INSekt RAT.
Các hướng dẫn sau đó có thể được nhúng vào một maldoc được đính kèm với một email lừa đảo, khi được mở, tải xuống và khởi chạy cửa hậu trên máy tính bị xâm phạm.
Về phần mình, trojan được trang bị các tính năng thường có trong các cửa hậu thuộc loại này, cho phép phần mềm độc hại lấy thông tin hệ thống, chụp ảnh màn hình, chạy các lệnh tùy ý và tải xuống các tệp từ xa, trong số những thứ khác.
Hơn nữa, phiên bản Linux của Insekt có khả năng liệt kê nội dung của thư mục ".ssh" và thậm chí thêm các khóa SSH mới vào tệp "~ / .ssh / authorized_keys" để tạo điều kiện truy cập từ xa qua SSH.
Nhưng trong một dấu hiệu cho thấy tác nhân đe dọa đằng sau hoạt động cũng có macOS trong tầm ngắm của họ, Talos cho biết họ đã phát hiện ra một ống nhỏ giọt Mach-O khai thác lỗ hổng PwnKit (CVE-2021-4034) để đạt được sự leo thang đặc quyền.
"Tuy nhiên, tiện ích [pkexec] này không được cài đặt trên MacOSX theo mặc định, có nghĩa là độ cao của các đặc quyền không được đảm bảo," Talos lưu ý.
Các chức năng chồng chéo Manjusaka và Alchimist chỉ ra sự gia tăng trong việc sử dụng "các khuôn khổ C2 bao gồm tất cả" có thể được sử dụng để quản trị từ xa và chỉ huy và kiểm soát.
"Một tác nhân đe dọa giành được quyền truy cập đạn pháo đặc quyền trên máy của nạn nhân giống như có một con dao của Quân đội Thụy Sĩ, cho phép thực hiện các lệnh hoặc mã đạn pháo tùy ý trong môi trường của nạn nhân, dẫn đến những ảnh hưởng đáng kể đến tổ chức mục tiêu," các nhà nghiên cứu cho biết.