Les chercheurs ont dévoilé un nouveau cadre offensif appelé Manjusaka qu’ils appellent un « frère chinois de Sliver et Cobalt Strike ». « Une version entièrement fonctionnelle de la commande et du contrôle (C2), écrite en GoLang avec une interface utilisateur en chinois simplifié, est disponible gratuitement et peut générer facilement de nouveaux implants avec des configurations personnalisées, augmentant la probabilité d’une adoption plus large de ce cadre par des acteurs malveillants », a déclaré Cisco Talos dans un nouveau rapport. Sliver et Cobalt Strike sont des cadres d’émulation d’adversaire légitimes qui ont été utilisés par les acteurs de la menace pour mener des activités de post-exploitation telles que la reconnaissance du réseau, le mouvement latéral et faciliter le déploiement de charges utiles de suivi. Écrit en Rust, Manjusaka – qui signifie « fleur de vache » – est annoncé comme un équivalent du framework Cobalt Strike avec des capacités pour cibler à la fois les systèmes d’exploitation Windows et Linux. Son développeur serait situé dans la région de GuangDong en Chine. « L’implant se compose d’une multitude de capacités de chevaux de Troie d’accès à distance (RAT) qui incluent certaines fonctionnalités standard et un module de gestion de fichiers dédié », ont noté les chercheurs. Certaines des fonctionnalités prises en charge impliquent l’exécution de commandes arbitraires, la collecte d’informations d’identification de navigateur à partir de Google Chrome, Microsoft Edge, Qihoo 360, Tencent QQ Browser, Opera, Brave et Vivaldi, la collecte de mots de passe Wi-Fi, la capture de captures d’écran et l’obtention d’informations système complètes. Il est également conçu pour lancer le module de gestion de fichiers pour effectuer un large éventail d’activités telles que l’énumération des fichiers ainsi que la gestion des fichiers et des répertoires sur le système compromis.

D’autre part, la variante ELF de la porte dérobée, tout en incluant la plupart des fonctionnalités de son homologue Windows, n’intègre pas la possibilité de collecter les informations d’identification des navigateurs basés sur Chromium et de récolter les mots de passe de connexion Wi-Fi. En outre, une partie du cadre de la langue chinoise est un exécutable de serveur C2 codé en Golang et disponible sur GitHub à l’adresse « hxxps://github[.]com/YDHCUI/manjusaka ». Un troisième composant est un panneau d’administration construit sur le framework Web Gin qui permet à un opérateur de créer l’implant Rust. Le binaire du serveur, pour sa part, est conçu pour surveiller et administrer un terminal infecté, en plus de générer les implants Rust appropriés en fonction du système d’exploitation et d’émettre les commandes nécessaires. Cela dit, la chaîne de preuves suggère qu’il est soit en cours de développement actif, soit ses composants sont proposés à d’autres acteurs en tant que service. Talos a déclaré avoir fait la découverte au cours de son enquête d’une chaîne d’infection maldoc qui exploite des leurres sur le thème du COVID-19 en Chine pour fournir des balises Cobalt Strike sur des systèmes infectés, ajoutant que le même acteur menaçant a également utilisé les implants du cadre Manjusaka dans la nature. Les résultats arrivent des semaines après qu’il est apparu que des acteurs malveillants ont été observés abusant d’un autre logiciel de simulation d’adversaire légitime appelé Brute Ratel (BRc4) dans leurs attaques dans le but de rester sous le radar et d’échapper à la détection. « La disponibilité du cadre offensif Manjusaka est une indication de la popularité des technologies offensives largement disponibles auprès des opérateurs de logiciels criminels et d’APT », ont déclaré les chercheurs. « Ce nouveau framework d’attaque contient toutes les fonctionnalités que l’on peut attendre d’un implant, cependant, il est écrit dans les langages de programmation les plus modernes et les plus portables. Le développeur du framework peut facilement intégrer de nouvelles plates-formes cibles comme MacOSX ou des saveurs plus exotiques de Linux comme ceux qui s’exécutent sur des appareils embarqués. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *