Manjusaka IOCs

security IOC

Компания Cisco Talos обнаружила относительно новый механизм атак под названием "Manjusaka" (что можно перевести как "цветок коровы" с упрощенной китайской письменности), используемый их авторами в дикой природе.

Manjusaka

Защитникам важно отслеживать такие наступательные фреймворки, как Cobalt Strike и Sliver, чтобы предприятия могли эффективно защищаться от атак с использованием этих инструментов. Хотя Talos не наблюдала широкого использования этого фреймворка в природе, он потенциально может быть принят на вооружение субъектами угроз по всему миру. Данное раскрытие от Talos призвано обеспечить раннее оповещение об использовании Manjusaka.

Исследование началось с вредоносного документа Microsoft Word (maldoc), который содержал маячок Cobalt Strike (CS). Приманка в этом документе упоминала о вспышке COVID-19 в городе Голмуд, одном из крупнейших городов монгольской и тибетской автономной префектуры Хайси, провинция Цинхай. В ходе расследования Cisco Talos не обнаружила прямой связи между кампанией и разработчиками фреймворка, кроме использования фреймворка (который находится в свободном доступе на GitHub). Однако Talos не смог найти никаких данных, которые могли бы подтвердить определение виктимологии. Это вполне оправданно, учитывая небольшое количество жертв, что указывает на раннюю стадию кампании, а также подтверждается метаданными maldoc, указывающими на то, что он был создан во второй половине июня 2022 года.
Исследуя цепочку заражения maldoc, компания Talos обнаружила имплантат, используемый для инструментария заражений Manjusaka, обращающийся к тому же IP-адресу, что и маяк CS. Этот имплантат написан на языке программирования Rust, и Talos обнаружил образцы для операционных систем Windows и Linux. Имплантат для Windows включал тестовые образцы, которые имели немаршрутизируемые через Интернет IP-адреса в качестве командно-контрольных (C2). Talos также обнаружил на GitHub исполняемый файл C2 Manjusaka - полностью функциональный двоичный файл C2 ELF, написанный на языке GoLang с пользовательским интерфейсом на упрощенном китайском языке. Анализируя C2, Talos генерировал импланты, задавая наши конфигурации. Разработчик рекламирует, что у него есть фреймворк для имплантов противника, аналогичный Cobalt Strike или Sliver.
Разработчики предоставили схему фреймворка Manjusaka, иллюстрирующую связи между различными компонентами. Многие из этих компонентов не были реализованы в двоичном файле C2, доступном бесплатно.

Поэтому вполне вероятно, что либо:

  • Фреймворк активно разрабатывается, и эти возможности появятся в ближайшее время
  • Разработчик намерен или уже предоставляет эти возможности через сервис/инструмент для покупки - а C2, доступный бесплатно, является лишь демонстрационной копией для оценки.

Indicators of Compromise

IPv4

  • 39.104.90.45

URLs

  • http://39.104.90.45/2WYz
  • http://39.104.90.45/IE9CompatViewList.xml
  • http://39.104.90.45/submit.php
  • https://39.104.90.45/2WYz

SHA256

  • 0b03c0f3c137dacf8b093638b474f7e662f58fef37d82b835887aca2839f529b
  • 3f3eb6fd0e844bc5dad38338b19b10851083d078feb2053ea3fe5e6651331bf2
  • 54830a7c10e9f1f439b7650607659cdbc89d02088e1ab7dd3e2afb93f86d4915
  • 58a212f4c53185993a8667afa0091b1acf6ed5ca4ff8efa8ce7dae784c276927
  • 8e7c4df8264d33e5dc9a9d739ae11a0ee6135f5a4a9e79c354121b69ea901ba6
  • 8e9ecd282655f0afbdb6bd562832ae6db108166022eb43ede31c9d7aacbcc0d8
  • 955e9bbcdf1cb230c5f079a08995f510a3b96224545e04c1b1f9889d57dd33c1
  • a8b8d237e71d4abe959aff4517863d9f570bba1646ec4e79209ec29dda64552f
  • fb5835f42d5611804aaa044150a20b13dcf595d91314ebef8cf6810407d85c64
SEC-1275-1
Добавить комментарий