New Alchimist attack framework targets Windows, macOS, Linux

รูปแบบการโจมตีใหม่ Framework Alchimist มุ่งเป้าไปที่ Windows, macOS, Linux

    ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์พบการโจมตีรูปแบบใหม่ และเฟรมเวิร์ก C2 ที่ชื่อว่า "Alchimist" ซึ่งดูเหมือนจะถูกใช้ในการโจมตีที่มุ่งเป้าไปยังระบบปฏิบัติการ Windows, Linux และ Mac OS

    เฟรมเวิร์ก และไฟล์ทั้งหมดถูกเขียนขึ้นด้วยภาษาโปรแกรมมิ่งที่ชื่อว่า GoLang ซึ่งเป็นภาษาที่ทำให้ความเข้ากันได้ของโปรแกรมในแต่ละระบบปฏิบัติการต่าง ๆ ทำได้ง่ายขึ้นมาก Alchimist มี web-based interface ที่ใช้ภาษาจีน ซึ่งคล้ายกันกับ Manjusaka ที่เป็นเฟรมเวิร์กที่ถูกใช้หลังการโจมตี (post-exploitation) ที่พึ่งถูกพบเมื่อเร็ว ๆ นี้ ซึ่งกำลังเป็นที่นิยมในกลุ่มแฮ็กเกอร์ชาวจีน ผู้เชี่ยวชาญของ Cisco Talos พบว่าทั้ง 2 เฟรมเวิร์คนั้นมีความคล้ายกัน แต่ก็มีความแตกต่างทางเทคนิคมากพอที่จะสรุปได้ว่าผู้เขียนเฟรมเวิร์คทั้งสองตัวต่างคนต่างพัฒนาเฟรมเวิร์กเหล่านี้

วิธีการสร้างการโจมตี

    Alchimist ช่วยให้ผู้ไม่ประสงค์ดีมีเฟรมเวิร์กที่ใช้งานได้ง่าย ซึ่งช่วยให้สามารถสร้าง และกำหนดค่า Payload ที่ติดตั้งบนอุปกรณ์ที่ถูกโจมตี เพื่อบันทึกภาพหน้าจอจากระยะไกล สั่งรัน commands ต่าง ๆ และดำเนินการเรียกใช้ shellcode จากระยะไกลได้ เฟรมเวิร์กนี้ยังสนับสนุนการสร้าง mechanisms เพื่อติดตั้ง 'Insekt' (RAT) บนอุปกรณ์ของเหยื่อ และช่วยในการสร้าง PowerShell (สำหรับ Windows) และ wget (สำหรับ Linux) สำหรับการปรับใช้ RAT

Command snippets generated directly from the framework (Cisco)

 Payload ของ Insekt สามารถกำหนดค่าได้บนอินเทอร์เฟซของ Alchimist โดยใช้พารามิเตอร์ต่าง ๆ เช่น C2 IP/URL แพลตฟอร์ม (Windows หรือ Linux) โปรโตคอล (TLS, SNI, WSS/WS)

Alchimist's mechanisms for various communication protocols (Cisco)

    C2 Address จะถูกกำหนดไว้ในฮาร์ดโค้ด และมี self-signed certificate ซึ่งสร้างขึ้นในระหว่างการคอมไพล์ โดย C2 จะส่งคำสั่ง Ping 10 ครั้งทุกวินาที และหากความพยายามในการเชื่อมต่อทั้งหมดไม่สำเร็จ มัลแวร์จะลองใหม่อีกครั้งหลังจากผ่านไปหนึ่งชั่วโมง

Insekt RAT

เซิร์ฟเวอร์ Alchemist C2 จะส่งคำสั่งเพื่อดำเนินการ ซึ่งเป็นการฝัง Insekt ที่ใช้ดำเนินการบนระบบ Windows และ Linux ที่ถูกโจมตี

พฤติกรรมที่เป็นอันตรายที่ Insekt สามารถทำได้:

• Get file sizes รับข้อมูลขนาดไฟล์
• Get OS information. รับข้อมูลระบบปฏิบัติการ
• Run arbitrary commands via cmd.exe or bash. เรียกใช้คำสั่งโดยผ่าน cmd.exe หรือ bash
• Upgrade the current Insekt implant. อัพเกรด Insekt ปัจจุบัน
• Run arbitrary commands as a different user. รันคำสั่งด้วยชื่อผู้ใช้งานที่แตกต่างกัน
• Sleep for periods defined by the C2. ระยะเวลา sleep ที่กำหนดโดยการใช้ C2
• Start/stop taking screenshots. เริ่ม/หยุดการบันทึกภาพหน้าจอ

Running arbitrary commands on Windows and Linux (Cisco)

    นอกจากนี้ Insekt สามารถทำหน้าที่เป็น proxy (โดยใช้ SOCKS5) จัดการคีย์ SSH ทำการ scan port และ IP เขียนหรือแยกไฟล์ zip ไปยังดิสก์ และรัน shell โค้ดบน Host ทางทีม Cisco Talos ได้อธิบายในรายงานเกี่ยวกับ Insekt ใน Linux ว่ายังมีฟังก์ชันสำหรับแสดงรายการเนื้อหาของไดเร็กทอรี “.ssh” ในไดเร็กทอรี “Home” ของเหยื่อ และเพิ่มคีย์ SSH ใหม่ให้กับไฟล์ authorised_Keys” การใช้คุณสมบัตินี้ ทำให้ผู้ไม่ประสงค์ดีสามารถเชื่อมต่อกับเครื่องของเหยื่อจาก C2 ผ่าน SSH Alchimist ยังสามารถส่งคำสั่งที่กำหนดไว้ล่วงหน้าเช่นการสร้างผู้ใช้งานใหม่ ค้นหารายชื่อของผู้ดูแลระบบ เปิดใช้งานเทอร์มินัล และการปิดใช้งาน และการกำหนดค่าไฟร์วอลล์

การโจมตีบน macOS

    เนื่องจาก Insikt ยังไม่สามารถทำงานบน macOS ได้ ดังนั้น Alchimist จึงทดแทนช่องว่างนี้ด้วยการใช้ไฟล์ Mach-O ซึ่งเป็นไฟล์ 64 bit ที่เขียนด้วย GoLang ซึ่งเป็นเครื่องมือสำหรับโจมตีช่องโหว่ CVE-2021-4034 ซึ่งเป็นช่องโหว่ในการยกระดับสิทธิ์ในยูทิลิตี้ pkexec ของ Polkit เพื่อให้การโจมตีสำเร็จ แฮ็กเกอร์จะต้องติดตั้ง utility บนเครื่องเป้าหมายก่อน