Code

Un cadre de commande et de contrôle (C2) précédemment non documenté appelé Alchimist est probablement utilisé dans la nature pour cibler les systèmes Windows, macOS et Linux.

« Alchimist C2 dispose d’une interface Web écrite en chinois simplifié et peut générer une charge utile configurée, établir des sessions à distance, déployer une charge utile sur les machines distantes, capturer des captures d’écran, effectuer une exécution de shellcode à distance et exécuter des commandes arbitraires », Cisco Talos a dit dans un rapport partagé avec The Hacker News.

Écrit en GoLang, Alchimist est complété par un implant de balise appelé Insekt, qui est livré avec des fonctionnalités d’accès à distance qui peuvent être instrumentées par le serveur C2.

La Cyber-Sécurité

La découverte d’Alchimist et de sa famille d’implants malveillants intervient trois mois après que Talos a également détaillé un autre framework autonome connu sous le nom de Manjusaka, qui a été vanté en tant que « frère chinois de Sliver et Cobalt Strike ».

Plus intéressant encore, Manjusaka et Alchimist proposent des fonctionnalités similaires, malgré les différences d’implémentation en ce qui concerne les interfaces Web.

Publicité

Le panneau Alchimist C2 offre en outre la possibilité de générer des extraits de code PowerShell et wget pour Windows et Linux, permettant potentiellement à un attaquant d’étoffer ses chaînes d’infection pour distribuer la charge utile Insekt RAT.

Les instructions pourraient ensuite être intégrées dans un maldoc attaché à un e-mail de phishing qui, une fois ouvert, télécharge et lance la porte dérobée sur la machine compromise.

Le cheval de Troie, pour sa part, est équipé de fonctionnalités généralement présentes dans les portes dérobées de ce type, permettant au malware d’obtenir des informations système, de capturer des captures d’écran, d’exécuter des commandes arbitraires et de télécharger des fichiers distants, entre autres.

La Cyber-Sécurité

De plus, la version Linux d’Insekt est capable de lister le contenu du répertoire « .ssh » et même d’ajouter de nouvelles clés SSH au fichier « ~/.ssh/authorized_keys » pour faciliter l’accès à distance via SSH.

Mais dans un signe que l’acteur de la menace derrière l’opération a également macOS dans son viseur, Talos a déclaré avoir découvert un compte-gouttes Mach-O qui exploite la vulnérabilité PwnKit (CVE-2021-4034) pour obtenir une élévation des privilèges.

« Cependant, cela [pkexec] n’est pas installé sur MacOSX par défaut, ce qui signifie que l’élévation des privilèges n’est pas garantie », a noté Talos.

Les fonctions qui se chevauchent, Manjusaka et Alchimist, indiquent une augmentation de l’utilisation de « cadres C2 tout compris » qui peuvent être utilisés pour l’administration à distance et la commande et le contrôle.

« Un acteur malveillant obtenant un accès privilégié au shell sur la machine d’une victime, c’est comme avoir un couteau suisse, permettant l’exécution de commandes arbitraires ou de shellcodes dans l’environnement de la victime, entraînant des effets significatifs sur l’organisation cible », ont déclaré les chercheurs.


Rate this post
Publicité
Article précédentLa mise à jour anniversaire de Forza Horizon 5 est désormais disponible
Article suivantLa guerre des grands joyaux expliquée
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici