Hacker raising his hands in success

サイバーセキュリティの研究者は、「Alchimist」と呼ばれる新しい攻撃と C2 フレームワークを発見しました。これは、Windows、Linux、および macOS システムを標的とする攻撃で積極的に使用されているようです。

フレームワークとそのすべてのファイルは、異なるオペレーティング システム間の相互互換性を大幅に容易にするプログラミング言語である GoLang で記述された 64 ビット実行可能ファイルです。

Alchimist は、簡体字中国語を使用した Web ベースのインターフェースを提供します。これは、中国のハッカーの間で人気が高まっている、最近出現したエクスプロイト攻撃フレームワークであるManjusakaと非常によく似ています。

これらのフレームワークの両方を発見した Cisco Talos の研究者は、それらの類似点を強調していますが、さまざまな作成者がそれらを開発したと推測するのに十分な技術的な違いがあると説明しています。

攻撃の醸造

Alchimist はオペレーターに使いやすいフレームワークを提供し、感染したデバイスに配置されたペイロードを生成および構成して、リモートでスクリーンショットを撮り、任意のコマンドを実行し、リモートでシェルコードを実行できるようにします。

このフレームワークは、デバイスに「Insekt」リモート アクセス トロイの木馬 (RAT) をドロップするためのカスタム感染メカニズムの構築をサポートし、RAT 展開用の PowerShell (Windows 用) および wget (Linux 用) コード スニペットを生成することでハッカーを支援します。

フレームワークから直接生成されたコマンド スニペット
フレームワークから直接生成されたコマンド スニペット(Cisco)

Insekt ペイロードは、C2 IP/URL、プラットフォーム (Windows または Linux)、通信プロトコル (TLS、SNI、WSS/WS)、デーモンとして実行するかどうかなどのいくつかのパラメーターを使用して、Alchimist のインターフェイスで構成できます。

Alchimist のさまざまな通信プロトコルのメカニズム
さまざまな通信プロトコルに対する Alchimist のメカニズム(Cisco)

C2 アドレスは、生成されたインプラントにハードコードされており、コンパイル中に生成された自己署名証明書が含まれています。 C2 は毎秒 10 回 ping され、接続の試みがすべて失敗した場合、マルウェアは 1 時間後に再試行します。

C2 証明書の詳細
C2 証明書の詳細(シスコ)

昆虫RAT

Alchemist C2 サーバーは実行するコマンドを配信しますが、感染した Windows および Linux システムでコマンドを実行するのは Insekt インプラントです。

Insekt インプラントが実行できる悪意のある動作には、次のものがあります。

  • ファイルサイズを取得します。
  • OS 情報を取得します。
  • cmd.exe または bash を介して任意のコマンドを実行します。
  • 現在の Insekt インプラントをアップグレードします。
  • 別のユーザーとして任意のコマンドを実行します。
  • C2 によって定義された期間スリープします。
  • スクリーンショットの撮影を開始/停止します。
Windows および Linux での任意のコマンドの実行
Windows および Linux での任意のコマンドの実行(Cisco)

さらに、Insekt は (SOCKS5 を使用して) プロキシとして機能し、SSH キーを操作し、ポートおよび IP スキャンを実行し、ファイルをディスクに書き込みまたは解凍し、ホスト上でシェルコードを実行できます。

「Insekt の Linux 版には、被害者のホーム ディレクトリにある「.ssh」ディレクトリの内容を一覧表示し、新しい SSH キーを authorized_Keys ファイルに追加する機能もあります」と Cisco Talos はレポートで説明しています。

「この機能を使用すると、攻撃者は SSH 経由で C2 から被害者のマシンと通信できます。」

Alchimist のオペレーターは、ユーザーの作成、管理ユーザーの調査、端末のアクティブ化、ファイアウォールの無効化と構成に関する事前定義されたコマンドをインプラントに送信することもできます。

macOS への攻撃

Insikt はまだ macOS では動作しないため、Alchimist は、CVE-2021-4034 のエクスプロイトを含む GoLang で記述された 64 ビット実行可能ファイルである Mach-O ファイルを使用して、このギャップをカバーしています。

これは Polkit の pkexec ユーティリティの権限昇格の欠陥ですが、フレームワークはそれをターゲットに挿入しません。つまり、攻撃が機能するには、ハッカーがターゲット マシンにユーティリティをインストールする必要があります。

Alchimist は、システムに pkexec がインストールされている限り、Linux プラットフォームにも同じエクスプロイトを提供します。

オールインワンフレームワークの台頭

Alchimist は、高度なサイバー攻撃に必要なすべてのコンポーネントを構築する知識や能力を持たないサイバー犯罪者が利用できるもう 1 つの攻撃フレームワークです。

残念ながら、これらの既製のフレームワークは高品質で、機能が豊富で、検出を回避するのが得意で、ターゲットにインプラントを落とすのに効果的です.

そうは言っても、運用コストを最小限に抑え、他のハッカーのランダムな悪意のあるトラフィックと混合して帰属を回避したい、より高度な脅威アクターにとっても有益です.