Un framework di comando e controllo (C2) precedentemente non documentato, soprannominato Alchimist, è probabilmente utilizzato in natura per colpire sistemi Windows, macOS e Linux. “Alchimist C2 ha un’interfaccia web scritta in cinese semplificato e può generare un payload configurato, stabilire sessioni remote, distribuire il payload alle macchine remote, catturare schermate, eseguire shellcode da remoto ed eseguire comandi arbitrari”, ha dichiarato Cisco Talos in un rapporto condiviso con The Hacker News. La scoperta di Alchimist e della sua assortita famiglia di impianti di malware arriva tre mesi dopo che Talos ha anche descritto un altro framework autonomo noto come Manjusaka, che è stato definito come il “fratello cinese di Sliver e Cobalt Strike”. È ancora più interessante notare che sia Manjusaka che Alchimist presentano funzionalità simili, nonostante le differenze di implementazione per quanto riguarda le interfacce web. “L’aumento di framework offensivi pronti all’uso come Manjusaka e Alchimist è un’indicazione della popolarità degli strumenti post-compromissione”, hanno dichiarato i ricercatori di Talos a The Hacker News. “È probabile che a causa dell’elevata proliferazione e dei tassi di rilevamento dei framework esistenti, come Cobalt Strike e Sliver, gli attori delle minacce stiano sviluppando e adottando nuovi strumenti come Alchimist che supportano molteplici funzionalità e protocolli di comunicazione”.
Il pannello C2 di Alchimist è inoltre in grado di generare payload di primo livello, tra cui snippet di codice PowerShell e wget per Windows e Linux, consentendo potenzialmente a un aggressore di completare le proprie catene di infezione per distribuire il binario del RAT Insekt. Le istruzioni potrebbero poi essere incorporate in un maldoc allegato a un’e-mail di phishing che, una volta aperto, scarica e lancia la backdoor sul computer compromesso. Sebbene Alchimist sia stato utilizzato in una campagna che prevedeva un mix di Insekt RAT e altri strumenti open source per svolgere attività successive alla compromissione, il veicolo di distribuzione dell’attore della minaccia rimane un po’ un mistero. “Anche il vettore di distribuzione e pubblicità di Alchimist è sconosciuto: forum underground, marketplace o distribuzione open source come nel caso di Manjusaka”, ha dichiarato Talos.
“Poiché Alchimist è un framework C2 pronto per l’uso basato su un singolo file, è difficile attribuirne l’uso a un singolo attore, come gli autori, le APT o i sindacati di crimeware”. Il trojan, da parte sua, è dotato di funzionalità tipicamente presenti in backdoor di questo tipo, che consentono al malware di ottenere informazioni sul sistema, catturare screenshot, eseguire comandi arbitrari e scaricare file remoti, tra le altre cose. Inoltre, la versione Linux di Insekt è in grado di elencare il contenuto della directory “.ssh” e persino di aggiungere nuove chiavi SSH al file “~/.ssh/authorized_keys” per facilitare l’accesso remoto tramite SSH. Ma a riprova del fatto che l’attore delle minacce dietro l’operazione ha nel mirino anche macOS, Talos ha dichiarato di aver scoperto un dropper Mach-O che sfrutta la vulnerabilità PwnKit (CVE-2021-4034) per ottenere l’escalation dei privilegi. “Tuttavia, questa utility [pkexec] non è installata di default su MacOSX, il che significa che l’elevazione dei privilegi non è garantita”, ha osservato Talos.La sovrapposizione delle funzioni di Manjusaka e Alchimist indica un aumento dell’uso di “framework C2 completi” che possono essere utilizzati per l’amministrazione remota e il comando e controllo. “Un attore minaccioso che ottiene un accesso privilegiato alla shell sul computer di una vittima è come avere un coltellino svizzero, che consente l’esecuzione di comandi arbitrari o di codici shell nell’ambiente della vittima, con effetti significativi sull’organizzazione bersaglio”, hanno dichiarato i ricercatori.
