Para peneliti telah mengungkapkan kerangka ofensif baru yang disebut Manjusaka yang mereka sebut “saudara Cina dari Sliver dan Cobalt Strike.”
“Versi perintah-dan-kontrol (C2) yang berfungsi penuh, yang ditulis dalam GoLang dengan Antarmuka Pengguna dalam bahasa Cina Sederhana, tersedia secara gratis dan dapat menghasilkan implan baru dengan konfigurasi khusus dengan mudah, meningkatkan kemungkinan adopsi yang lebih luas dari kerangka kerja ini. oleh aktor jahat,” kata Cisco Talos dalam sebuah laporan baru.
Sliver dan Cobalt Strike adalah kerangka kerja emulasi musuh yang sah yang telah digunakan oleh aktor ancaman untuk melakukan aktivitas pasca-eksploitasi seperti pengintaian jaringan, pergerakan lateral, dan memfasilitasi penyebaran muatan lanjutan.
Ditulis dalam Rust, Manjusaka — yang berarti “bunga sapi” — diiklankan sebagai setara dengan kerangka Cobalt Strike dengan kemampuan untuk menargetkan sistem operasi Windows dan Linux. Pengembangnya diyakini berlokasi di wilayah GuangDong China.
“Implan terdiri dari banyak kemampuan remote access trojan (RAT) yang mencakup beberapa fungsi standar dan modul manajemen file khusus,” catat para peneliti.
Beberapa fitur yang didukung termasuk menjalankan perintah arbitrer, mengumpulkan kredensial browser dari Google Chrome, Microsoft Edge, Qihoo 360, Tencent QQ Browser, Opera, Brave, dan Vivaldi, mengumpulkan kata sandi Wi-Fi, menangkap tangkapan layar, dan memperoleh informasi sistem yang komprehensif.
Ini juga dirancang untuk meluncurkan modul manajemen file untuk melakukan berbagai aktivitas seperti menghitung file serta mengelola file dan direktori pada sistem yang disusupi.
Di sisi lain, varian ELF dari pintu belakang, sementara memasukkan sebagian besar fungsi sebagai mitra Windows-nya, tidak menggabungkan kemampuan untuk mengumpulkan kredensial dari browser berbasis Chromium dan memanen kata sandi masuk Wi-Fi.
Juga, bagian dari kerangka bahasa Cina adalah server C2 yang dapat dieksekusi yang dikodekan dalam Golang dan tersedia di GitHub di “hxxps://github[.]com/YDHCUI/manjusaka.” Komponen ketiga adalah panel admin yang dibangun di atas kerangka web Gin yang memungkinkan operator membuat implan Rust.
Biner server, pada bagiannya, direkayasa untuk memantau dan mengelola titik akhir yang terinfeksi, selain menghasilkan implan Rust yang sesuai tergantung pada sistem operasi dan mengeluarkan perintah yang diperlukan.
Yang mengatakan, rantai bukti menunjukkan bahwa itu sedang dalam pengembangan aktif atau komponennya ditawarkan kepada aktor lain sebagai layanan.
Talos mengatakan mereka membuat penemuan selama penyelidikan rantai infeksi maldoc yang memanfaatkan umpan bertema COVID-19 di China untuk mengirimkan suar Cobalt Strike pada sistem yang terinfeksi, menambahkan aktor ancaman yang sama juga menggunakan implan dari kerangka Manjusaka di alam liar.
Temuan tiba beberapa minggu setelah muncul bahwa aktor jahat telah diamati menyalahgunakan perangkat lunak simulasi musuh lain yang sah yang disebut Brute Ratel (BRc4) dalam serangan mereka dalam upaya untuk tetap berada di bawah radar dan menghindari deteksi.
“Ketersediaan kerangka ofensif Manjusaka merupakan indikasi popularitas teknologi ofensif yang tersedia secara luas dengan operator crimeware dan APT,” kata para peneliti.
“Kerangka serangan baru ini berisi semua fitur yang diharapkan dari sebuah implan, namun, ini ditulis dalam bahasa pemrograman paling modern dan portabel. Pengembang kerangka kerja dapat dengan mudah mengintegrasikan platform target baru seperti MacOSX atau rasa Linux yang lebih eksotis. seperti yang berjalan pada perangkat yang disematkan.”