Çin Kötü Amaçlı Yazılım Windows, Linux ve Mac Sistemlerine Saldırıyor

Cisco Talos'taki siber güvenlik araştırmacıları yakın zamanda aşağıdaki sistemlerin Alchimist adlı belgelenmemiş bir C2 çerçevesinin kullanılmasıyla hedeflenmesinin muhtemel olduğunu belirlediler:

• Windows
• macOS
• Linux

Insekt adı verilen bir beacon implant, GoLang dilinde yazılmış Alchimist C2 çerçevesini tamamlar. Uzaktan erişim özelliklerine ek olarak, Alchimist C2 çerçevesi C2 sunucusu tarafından araçsallaştırılabilir, böylece otomasyonla kullanılabilir.

Alchimist'in Teknik Analizi

Bir Insekt faresi, otomatik saldırıları kolaylaştırmak için Çin Simyacı çerçevesinin bir parçası olarak serbest bırakılırken.

GoLang'da Alchimist C2 çerçevesi altında bir dizi 64 bit yürütülebilir dosya yazılmıştır. Bu yürütülebilir dosyaları çok çeşitli büyük işletim sistemleriyle entegre etmek mümkündür, çünkü tüm bu yürütülebilir dosyalar uyumluluğu daha kolay ve daha kullanışlı hale getirir.

Alchimist, Çinli bilgisayar korsanları arasında çok popülerlik kazanan bir çerçeve olan Manjusaka'ya çok benzer bir arayüze sahiptir. Bunun dışında, Alchimist ile ilgili en ilginç şeylerden biri, web arayüzünün basitleştirilmiş Çince olarak sunulmasıdır.

Virüslü cihazlarda, operatörler Alchimist'i kullanarak yükleri oluşturabilir ve yapılandırabilir ve sadece bu değil, aynı zamanda aşağıdaki yasadışı şeyleri yapmalarını sağlayan sezgisel ve kullanımı kolay bir platform sunar:

• Uzaktan ekran görüntüsü alma
• Rastgele komutlar yürütme
• Uzaktan shellcode yürütme

İnsekt İmplant Enfeksiyon Zinciri

Alchimist, truva atını özel enfeksiyon mekanizmaları aracılığıyla dağıtmak için aşağıdaki öğeleri bırakacak şekilde özelleştirilebilir:

• Insekt RAT truva atı
• PowerShell kodu parçacıkları (Windows)
• wget (Linux)

Derleyici zamanında otomatik olarak imzalanan bir sertifika oluşturuldu ve bunu implanta gömmek, implanta sabit kodlanmış bir C&C sunucusunun adresini içeriyor.

Talos raporuna göre, C&C sunucu adresinde saniyede 10 denemeyle bir ping işlemi gerçekleştirilecek. Bununla birlikte, kötü amaçlı yazılım programı, daha önce yapılan tüm kurma girişimleri başarısız olursa, bir saat sonra bağlantıyı yeniden kurmayı dener.

Virüslü Windows ve Linux sistemlerinde, Alchemist sunucusu tarafından verilen komutlar Insekt implantı tarafından yürütülür.

Burada, Insekt'in virüslü sistemler üzerinde yapabileceği yasadışı eylemleri aşağıda özetledik:

• Dosya boyutlarını alma
• İşletim sistemi bilgilerini alma
• cmd[.]exe aracılığıyla isteğe bağlı komutları çalıştırma
• Yeni kullanıcı oluşturma yeteneği
• SSH anahtarlarını değiştirme
• Mevcut Insekt implantını yükseltme
• Bağlantı noktası ve IP taramaları gerçekleştirme
• Farklı bir kullanıcı olarak rastgele komutlar çalıştırma
• C2 tarafından tanımlanan süreler boyunca uyku
• Ana bilgisayarda kabuk kodunu yürütme
• Ekran görüntüsü almayı başlatma/durdurma
• Güvenlik duvarını devre dışı bırakma
• SOCKS5 kullanarak proxy olarak hareket etme
• Dosyaları diske yazma
• Dosyaları diske paketinden çıkarma

Dahası, operatör için işleri daha kolay hale getirmek için, kurbanın ana dizininde ".ssh" dizininin tüm içeriği Insekt implantının Linux varyantı tarafından listelenir.

Bundan sonra ~/.ssh/authorized_keys dosyasına, yeni oluşturulan tüm SSH anahtarları onun tarafından eklendi. Daha sonra SSH aracılığıyla kurbanın cihazı C&C ile bağlantı kurmak için saldırgan bunu kullanır.

Siber güvenlik uzmanları, Alchimist'in, sofistike siber saldırıların gerçekleştirildiği karmaşık bileşenler oluşturma konusunda ileri düzeyde bilgiye sahip olmayan acemi tehdit aktörleri için en iyi seçeneklerden biri olduğunu ima etti.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.