Alchimist sic IOCs

security IOC

Компания Cisco Talos обнаружила новую однофайловую командно-контрольную (C2) структуру, которую авторы называют "Alchimist sic". Исследователи Talos обнаружили этот C2 на сервере, на котором в корневом каталоге был активен список файлов, а также набор инструментов для пост-эксплуатации.

Alchimist sic

"Alchimist" - это 64-битный исполняемый файл для Linux, написанный на языке GoLang и упакованный активами, включая ресурсы для веб-интерфейса и полезные нагрузки Insekt RAT, скомпилированные для Windows и Linux. Insekt RAT, новый троян, обнаруженный Cisco Talos, является имплантом маяка Alchimist, написанным на GoLang и обладающим различными возможностями удаленного доступа, которые могут быть использованы сервером Alchimist C2.

Alchimist C2 имеет веб-интерфейс, написанный на упрощенном китайском языке, и может генерировать сконфигурированную полезную нагрузку, устанавливать удаленные сессии, развертывать полезную нагрузку на удаленных машинах, делать снимки экрана, выполнять удаленное исполнение шеллкода и запускать произвольные команды.

Среди остальных инструментов Cisco Talos обнаружила дроппер Mach-O, встроенный в эксплойт для устранения известной уязвимости CVE-2021-4034, проблему повышения привилегий в утилите polkit's pkexec, а также бэкдор оболочки привязки Mach-O. Исследовательская группа Qualys обнаружила CVE-2021-4034 в ноябре 2021 года, а в январе 2022 года директор по кибербезопасности Агентства национальной безопасности США предупредил, что уязвимость эксплуатируется в дикой природе.

Сервер также содержал инструменты двойного назначения, такие как psexec и netcat, а также инструмент сканирования под названием "fscan", который автор определяет как "инструмент сканирования интрасети", по сути, все необходимые инструменты для латерального перемещения.

Indicators of Compromise

IPv4

  • 149.28.36.160
  • 149.28.54.212
  • 18.167.90.252
  • 3.86.255.8
  • 45.32.132.166
  • 45.76.68.112
  • 95.179.246.73

SHA1

  • 61b0feca645af9296aa422d2c289e1d13593dbb6

SHA256

  • 134a3d105eef24fab27ed0fb3729e271306bde6dc4e9d2a4a5c5d1c82b0390fe

 

 

SEC-1275-1
Добавить комментарий