新的中国恶意软件攻击框架针对Windows、macOS和Linux系统

一个以前未被记录的命令和控制（C2）框架（称为Alchimist）很可能被广泛用于Windows、macOS和Linux系统。

Cisco Talos在与the Hacker News分享的一份报告中表示：“Alchimist C2有一个用简体中文编写的web界面，可以生成配置的有效载荷、建立远程会话、将有效载荷部署到远程机器、捕获屏幕截图、执行远程外壳代码执行和运行任意命令”。

Alchimist用GoLang编写，并辅以一种名为Insekt的信标植入，该信标植入具有远程访问功能，可由C2服务器进行检测。

三个月前，Talos还详细介绍了另一个被称为Manjusaka的独立框架，该框架被吹捧为“银色和钴色打击的中国兄弟”。

更有趣的是，Manjusaka和Alchimist都提供了类似的功能，尽管在web界面方面的实现存在差异。

塔洛斯的研究人员告诉《黑客新闻》：“Manjusaka和Alchimist等准备就绪的攻击性框架的兴起表明了后妥协工具的流行”。

“很可能由于现有框架（如Cobalt Strike和Sliver）的高扩散率和检测率，威胁行为体正在开发和采用支持多种功能和通信协议的新型工具，如Alchimist”。

Alchimist C2面板还具有生成第一阶段有效载荷的能力，包括Windows和Linux的PowerShell和wget代码片段，这可能使攻击者能够充实感染链以分发Insekt RAT二进制文件。

然后，这些指令可以嵌入到一封网络钓鱼电子邮件所附的maldoc中，打开后，该邮件会下载并启动受损机器上的后门。

尽管Alchimist在一场活动中被利用，该活动涉及Insekt RAT和其他开源工具的混合，以执行妥协后的活动，但威胁行动者的交付工具仍然是一个谜。

塔洛斯说：“Alchimist的发行和广告媒介也是未知的——地下论坛、市场，或者像Manjusaka这样的开源发行”。

“由于Alchimist是一个基于单个文件的即用即用C2框架，因此很难将其使用归因于单个参与者，如作者、APT或犯罪软件辛迪加”。

就特洛伊木马而言，它配备了通常存在于此类后门中的功能，使恶意软件能够获取系统信息、捕获屏幕截图、运行任意命令和下载远程文件等。

此外，Linux版本的Insekt能够列出“.ssh”目录的内容，甚至可以将新的ssh密钥添加到“~/.ssh/authorized_keys”文件中，以便于通过ssh进行远程访问。

但有迹象表明，该行动背后的威胁行为者也在关注macOS，塔洛斯表示，他们发现了一个Mach-O滴管，该滴管利用PwnKit漏洞（CVE-2021-4034）实现权限提升。

塔洛斯指出：“但是，默认情况下，MacOSX上没有安装这个[pkexec]实用程序，这意味着无法保证特权的提升”。

Manjusaka和Alchimist的重叠功能表明，可用于远程管理和指挥控制的“全包C2框架”的使用有所增加。

研究人员表示：“威胁行为体在受害者的机器上获得特权的炮弹访问就像拥有一把瑞士军刀，能够在受害者的环境中执行任意命令或炮弹代码，从而对目标组织产生重大影响”。