BİRÇOK ARAÇ KULLANARAK SALDIRIYORLAR
Söz konusu grup, “Alchimist” olarak adlandırılan yeni, bağımsız komuta kontrol (C2) aracı, “Insekt” adı verilen daha önce görülmemiş bir uzaktan erişim Truva Atı (RAT) ve macOS’taki güvenlik açıklarından yararlanmak için özel bir arka kapı ve kötü amaçlı yazılım gibi çeşitli araçlardan oluşuyor.
Bunun yanı sıra Alchimist, vekil sunucular, netcat, psexec gibi çift kullanımlı araçlar ve fscan adlı bir internet tarama aracını da içeriyor.
Alchimist hakkında yorum yapan Cisco Talos’tan Nick Biasini, “Alchimist, bir tehdit aktörü tarafından nispeten düşük teknik uzmanlıkla hızla dağıtılabilen ve çalıştırılabilen yeni bir C2 aracıdır.” ifadelerini kullanarak aracın kullanım kolaylığına dikkat çekti.
ALCHIMIST NELER YAPABİLİYOR?
13 Ekim’de yayımladıkları blog yazısında Cisco Talos, Alchimist’i, GoLang’ta Basitleştirilmiş Çince ile yazılmış bir ara yüze sahip 64-bit Linux yürütülebilir dosyası olarak tanımladı.
Alchimist’in birincil implantı olan Insekt RAT ise aynı zamanda GoLang’ta da uygulanabilyor. Aynı zamanda kötü amaçlı yazılım, C2 sunucusu aracılığıyla özelleştirilebilmesine olanak tanıyan çeşitli uzaktan erişilebilir özelliklere de sahip.
Araştırmacıların yazdıkları raporda Alchimist, yapılandırılmış bir payload oluşturabiliyor, uzak oturumlar kurabiliyor, uzak makinelere payloadları dağıtabiliyor, ekran görüntüleri alabiliyor ve uzak kabuk kodu ve rastgele kodlar yürütebiliyor.
Söz konusu yetenekleri kendisine kazandıran ise içerisinde macOS için bir Mach-0 arka kapısı ve büyük Linux dağıtımlarıyla ilişkili bir kök programda (CVE-2021-4034) bulunan bir güvenlik açığından yararlanan ayrı bir macOS zararlı yazılım dropper’ı dâhil olmak üzere çeşitli kötü amaçlı yazılım araçları olarak biliniyor.
Şirketin dikkate değer olarak vurguladığı yeni C2 aracının bir başka özelliği ise Windows ve Linux için PowerShell ve wget kod parçacıkları oluşturma yeteneği olması.
Biasini, kod parçacıklarının tehdit aktörlerine özel kod yazmak veya ek araçlar kullanmak zorunda kalmadan Insekt RAT için bir enfeksiyon vektörü oluşturma yeteneği verdiğini söylüyor.
Saldırganlar, PowerShell/wget kodunu kötü amaçlı bir belgenin VBA Makrosu gibi bir iletim vektörüne veya kötü amaçlı bir kısayol dosyasına ekleyebiliyor ve ardından bulaşma için kurbanlara dağıtabiliyor.
Biasini, Alchimist’in oluşturduğu Insekt RAT implantlarının, kendisini virüs bulaşmış sistemdeki saldırganlar için İsviçre Çakısı hâline getiren bir yetenek yelpazesi verdiğini belirtiyor.
Araştırmacılar, Alchimist’i, Cobalt Strike ve daha yakın zamanda Sliver gibi popülerleşen istismar sonrası araçlara alternatifler geliştirmeye çalışan tehdit aktörlerinin oluşturduğu yeni bir örnek olarak tanımladı.
Biasini, “Bu tür araçların vahşi doğada ortaya çıkması, tehdit aktörlerinin aktif olarak popüler saldırı araçlarına alternatif çözümler geliştirmeye çalıştığını gösteriyor.” açıklamasını yaptı.
Saldırı aracını kullanan bir kampanya ise en az Ocak ayından beri aktif.
Biasini, “Talos’un bu kampanyadaki kesin hedef hakkında bilgisi olmamasına rağmen, saldırıların amacının kurban ortamlarına uzun vadeli erişim sağlamak olduğunu” söyledi.
DİĞER ARAÇLARLA KARŞILAŞTIRDILAR
Cisco Talos, Alchimist’İ yakın zamanda keşfettiği Manjusaka adlı başka bir saldırı aracıyla karşılaştırdı.
Ağustos ayında yayımladıkları bir raporda şirket, Manjusaka’yı, bir tehdit aktörünün COVID-19 ve Çin temalı belgeleri hedef alan bir kampanyada aktif olarak kullanılan Cobalt Strike ve Sliver’ın Çinli bir kardeşi olarak tanımladı.
Hem Alchimist hem de Manjusaka, benzer tasarım felsefelerine ancak farklı uygulamalara sahip bağımsız, tek dosya tabanlı C2 araçları olarak biliniyor.
Cisco Talos, her ikisinin de kurulum gerektirmeden kullanıma hazır hâle geldiğini ve her ikisinin de anında Insekt RAT gibi implantları üretebildiğini söyledi.
