Компания Cisco Talos обнаружила новую однофайловую командно-контрольную (C2) структуру, которую авторы называют "Alchimist sic". Исследователи Talos обнаружили этот C2 на сервере, на котором в корневом каталоге был активен список файлов, а также набор инструментов для пост-эксплуатации.
Alchimist sic
"Alchimist" - это 64-битный исполняемый файл для Linux, написанный на языке GoLang и упакованный активами, включая ресурсы для веб-интерфейса и полезные нагрузки Insekt RAT, скомпилированные для Windows и Linux. Insekt RAT, новый троян, обнаруженный Cisco Talos, является имплантом маяка Alchimist, написанным на GoLang и обладающим различными возможностями удаленного доступа, которые могут быть использованы сервером Alchimist C2.
Alchimist C2 имеет веб-интерфейс, написанный на упрощенном китайском языке, и может генерировать сконфигурированную полезную нагрузку, устанавливать удаленные сессии, развертывать полезную нагрузку на удаленных машинах, делать снимки экрана, выполнять удаленное исполнение шеллкода и запускать произвольные команды.
Среди остальных инструментов Cisco Talos обнаружила дроппер Mach-O, встроенный в эксплойт для устранения известной уязвимости CVE-2021-4034, проблему повышения привилегий в утилите polkit's pkexec, а также бэкдор оболочки привязки Mach-O. Исследовательская группа Qualys обнаружила CVE-2021-4034 в ноябре 2021 года, а в январе 2022 года директор по кибербезопасности Агентства национальной безопасности США предупредил, что уязвимость эксплуатируется в дикой природе.
Сервер также содержал инструменты двойного назначения, такие как psexec и netcat, а также инструмент сканирования под названием "fscan", который автор определяет как "инструмент сканирования интрасети", по сути, все необходимые инструменты для латерального перемещения.
Indicators of Compromise
IPv4
- 149.28.36.160
- 149.28.54.212
- 18.167.90.252
- 3.86.255.8
- 45.32.132.166
- 45.76.68.112
- 95.179.246.73
SHA1
- 61b0feca645af9296aa422d2c289e1d13593dbb6
SHA256
- 134a3d105eef24fab27ed0fb3729e271306bde6dc4e9d2a4a5c5d1c82b0390fe