Злой брат инструментов Silver и Cobalt Strike – новый китайский Rust-фреймворк Manjusaka

Ср 3 Август 2022 13:59

Manjusaka продвигается разработчиками как аналог Cobalt Strike , способный атаковать Linux и Windows . Исследователи отмечают, что фреймворк состоит из множества функций трояна удаленного доступа ( RAT ), включая стандартные возможности вредоносных программ этого типа и специальный модуль, используемый для управления файлами в зараженной системе.

Согласно отчету Cisco Talos, Manjusaka позволяет злоумышленникам выполнять произвольные команды в системе жертвы, создавать скриншоты, собирать пароли от Wi-Fi, получать полную информацию о системе, а также красть учетные данные из браузеров Google Chrome, Microsoft Edge, Qihoo 360, Tencent QQ Browser, Opera, Brave и Vivaldi.

Кроме того, у фреймворка есть несколько компонентов:

Бэкдор в ELF-формате, включающий в себя большую часть функций Manjusaka, за исключением сбора учетных данных из браузеров на базе Chromium и паролей от Wi-FI;

Golang-бинарник, необходимый для мониторинга и администрирования зараженной конечной точки. Кроме этого, он используется для выдачи команд и создания нужных Rust -имплантов в зависимости от ОС жертвы.

Панель администратора, созданная на базе веб-фреймворка Gin, которая позволяет оператору создавать кастомные версии Rust-имплантов.

Исследователи предполагают, что вредоносный фреймворк находится в стадии активной разработки, либо некоторые его компоненты продаются другим злоумышленникам.

Talos заявила, что обнаружила Manjusaka в ходе расследования цепочки атак, в ходе которой неизвестные хакеры использовали фальшивые документы для внедрения маячков Cobalt Strike в системы жертв. Тогда злоумышленники использовали импланты из фреймворка Manjusaka в дикой природе.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 259 дней 23 часа 15 минут 23 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.