Les pirates chinois utilisent un nouveau cadre d’attaque de type Cobalt Strike

Cheryl Allison

Hacker tapant sur un clavier

Les chercheurs ont observé un nouveau cadre d’attaque post-exploitation utilisé dans la nature, nommé Manjusaka, qui peut être déployé comme une alternative à l’ensemble d’outils Cobalt Strike largement abusé ou parallèlement à celui-ci pour la redondance.

Manjusaka utilise des implants écrits dans le langage de programmation multiplateforme Rust, tandis que ses binaires sont écrits dans le GoLang tout aussi polyvalent.

Ses implants RAT (cheval de Troie d’accès à distance) prennent en charge l’exécution de commandes, l’accès aux fichiers, la reconnaissance du réseau, etc., afin que les pirates puissent l’utiliser pour les mêmes objectifs opérationnels que Cobalt Strike.

Campagne et découverte

Manjusaka a été découvert par des chercheurs de Cisco Talos, qui ont été appelés pour enquêter sur une infection Cobalt Strike sur un client, de sorte que les acteurs de la menace ont utilisé les deux cadres dans ce cas.

L’infection est venue via un document malveillant se faisant passer pour un rapport sur un cas de COVID-19 dans la ville de Golmud au Tibet pour la recherche des contacts.

Le document comportait une macro VBA qui s’exécute via rundll32.exe pour récupérer une charge utile de deuxième étape, Cobalt Strike, et la charger en mémoire.

Cependant, au lieu d’utiliser simplement Cobalt Strike comme boîte à outils d’attaque principale, ils l’ont utilisé pour télécharger des implants Manjusaka, qui, selon l’architecture de l’hôte, peuvent être des fichiers EXE (Windows) ou ELF (Linux).

“Cisco Talos a récemment découvert un nouveau cadre d’attaque appelé” Manjusaka “utilisé dans la nature qui a le potentiel de se répandre dans le paysage des menaces. Ce cadre est présenté comme une imitation du cadre Cobalt Strike “, préviennent les chercheurs de Cisco Talos.

Capacités de Manjusaka

Les versions Windows et Linux de l’implant présentent presque les mêmes capacités et implémentent des mécanismes de communication similaires.

Les implants comprennent un RAT et un module de gestion de fichiers, chacun présentant des capacités distinctes.

Le RAT prend en charge l’exécution de commandes arbitraires via “cmd.exe”, collecte les informations d’identification stockées dans les navigateurs Web, le SSID WiFi et les mots de passe, et découvre les connexions réseau (TCP et UDP), les noms de compte, les groupes locaux, etc.

Système d'exécution de commandes Manjusaka
Système d’exécution de commandes Manjusaka (Cisco)

De plus, il peut voler les informations d’identification de Premiumsoft Navicat, capturer des captures d’écran du bureau actuel, répertorier les processus en cours d’exécution et même vérifier les spécifications matérielles et thermiques.

Le module de gestion de fichiers peut effectuer une énumération de fichiers, créer des répertoires, obtenir des chemins de fichiers complets, lire ou écrire le contenu de fichiers, supprimer des fichiers ou des répertoires et déplacer des fichiers entre des emplacements.

Capacités de gestion de fichiers, EXE à gauche, ELF à droite
Capacités de gestion de fichiers, EXE à gauche, ELF à droite (Cisco)

Un changement d’outils

À l’heure actuelle, il semble que Manjusaka soit provisoirement déployé dans la nature pour des tests, de sorte que son développement n’est probablement pas dans sa phase finale. Cependant, le nouveau cadre est déjà suffisamment puissant pour une utilisation dans le monde réel.

Cisco note que ses chercheurs ont trouvé un schéma de conception sur un message promotionnel de l’auteur du logiciel malveillant, décrivant des composants qui n’étaient pas implémentés dans les versions échantillonnées.

Cela signifie qu’ils ne sont pas disponibles dans la version « gratuite » utilisée dans l’attaque analysée ou qu’ils n’ont pas encore été complétés par l’auteur.

“Ce nouveau cadre d’attaque contient toutes les fonctionnalités que l’on peut attendre d’un implant, cependant, il est écrit dans les langages de programmation les plus modernes et les plus portables.

Le développeur du framework peut facilement intégrer de nouvelles plates-formes cibles comme MacOSX ou des versions plus exotiques de Linux comme celles qui s’exécutent sur des appareils embarqués.

Le fait que le développeur ait mis à disposition une version entièrement fonctionnelle du C2 augmente les chances d’une adoption plus large de ce framework par des acteurs malveillants. – Cisco Talos

Le document leurre est écrit en chinois, et il en va de même pour les menus C2 et les options de configuration du logiciel malveillant, il est donc prudent de supposer que ses développeurs sont basés en Chine. L’OSINT de Talos a limité son emplacement à la région du Guangdong.

Si tel est effectivement le cas, nous pourrions bientôt voir Manjusaka déployé dans les campagnes de plusieurs APT chinois, car les groupes de menaces du pays sont connus pour partager un ensemble d’outils communs.

Récemment, nous avons signalé la montée en puissance d’une boîte à outils de post-exploitation nommée “Brute Ratel”, qui était également destinée à remplacer les versions fissurées désormais vieillissantes et plus facilement détectables de Cobalt Strike.

Les acteurs de la menace devraient continuer à s’éloigner progressivement de Cobalt Strike, et de nombreux cadres d’attaque alternatifs apparaîtront probablement, tentant de se développer dans la nouvelle opportunité de marché.

Next Post

Président de TSMC : les fabs ne seraient "pas utilisables" si la Chine envahissait

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation. Les tensions sont vives alors que la présidente de la Chambre, Nancy Pelosi, a atterri à Taiwan aujourd’hui. La visite controversée a été entreprise malgré les avertissements sévères du gouvernement chinois de “mesures énergiques” […]