网络安全研究人员发现了一种名为“Alchimist”的新型攻击和 C2 框架,该框架被积极用于针对 Windows、Linux 和 macOS 系统的攻击。
Alchimist 是用 Go 语言编写的,辅以一个名为 Insekt 的信标植入物,它具有远程访问能力,可以被 C2 服务器测量。 Alchimist 为操作员提供了一个易于使用的框架,使他们能够生成和配置有效负载、获取远程屏幕截图以及在受感染的设备上运行任意命令。
AlchimistC2 面板还能够生成第一阶段的有效载荷,包括 Windows 和 Linux 的 PowerShell 和 wget 代码片段,可能允许攻击者丰富他们的感染链以分发 InsektRAT 有效载荷。
攻击者将恶意文档嵌入到网络钓鱼电子邮件附件中,打开后会在受感染的计算机上下载并启动后门程序。
虽然 Alchimist 已被用于涉及混合使用 InsektRAT 和其他用于执行违规后活动的开源工具的活动,但攻击者的运载工具仍然是个谜。
该木马配备了此类侧门中常见的功能服务器攻击软件,允许恶意软件获取系统信息、捕获屏幕截图、运行任意命令、下载远程文件等。
只有 Linux 版本的 Insekt 可以列出“.ssh”目录的内容服务器攻击软件,甚至可以在“~/.ssh/authorized_keys”文件中添加新的 SSH 密钥,以方便通过 SSH 进行远程访问。
有迹象表明,该操作背后的攻击者也以 macOS 为目标,研究人员发现了一个利用 PwnKit 漏洞(CVE-2021-4034)实现提权的攻击模块。
研究人员表示,攻击者在受害者机器上获得特权 shell 访问权限就像拥有一把英国军刀,允许他们在受害者的环境中执行任意命令或 shell 代码,从而对目标组织产生重大影响。
