Китайские хакеры используют новый фреймворк атаки, похожий на Cobalt Strike

 

Исследователи наблюдали новую используемую в дикой природе структуру атак после эксплуатации под названием Manjusaka, которую можно развернуть в качестве альтернативы широко используемому набору инструментов Cobalt Strike или параллельно с ним.

Manjusaka использует имплантаты, написанные на кроссплатформенном языке программирования Rust, а ее двоичные файлы написаны на столь же универсальном GoLang.

Его импланты RAT (троян удаленного доступа) поддерживают выполнение команд, доступ к файлам, сетевую разведку и многое другое, поэтому хакеры могут использовать его для тех же оперативных целей, что и Cobalt Strike.

Manjusaka была обнаружена исследователями Cisco Talos, которые были вызваны для расследования заражения клиента Cobalt Strike, поэтому злоумышленники использовали обе платформы в этом случае.

Заражение произошло через вредоносный документ, маскирующийся под отчет о случае COVID-19 в городе Голмуд в Тибете для отслеживания контактов.

В документе представлен макрос VBA, который выполняется через rundll32.exe для извлечения полезной нагрузки второго этапа, Cobalt Strike, и загрузки ее в память.

Однако вместо того, чтобы просто использовать Cobalt Strike в качестве основного набора инструментов для атаки, они использовали его для загрузки имплантатов Manjusaka, которые в зависимости от архитектуры хоста могут быть файлами EXE (Windows) или ELF (Linux).

«Cisco Talos недавно обнаружила новую атакующую структуру под названием «Manjusaka», используемую в дикой природе, которая может стать распространенной среди угроз. Эта структура рекламируется как имитация инфраструктуры Cobalt Strike», — предупреждают исследователи Cisco Talos.