Forscher haben ein neues Offensivsystem namens Manjusaka enthüllt, das sie als „chinesisches Geschwisterchen von Sliver und Cobalt Strike“ bezeichnen.
„Eine voll funktionsfähige Version des Command-and-Control-Frameworks (C2), geschrieben in GoLang mit einer Benutzeroberfläche in vereinfachtem Chinesisch, ist frei verfügbar und kann mit Leichtigkeit neue Implantate mit benutzerdefinierten Konfigurationen erzeugen, was die Wahrscheinlichkeit erhöht, dass dieses Framework von böswilligen Akteuren in größerem Umfang eingesetzt wird“, so Cisco Talos in einem neuen Bericht.
Sliver und Cobalt Strike sind legitime Emulations-Frameworks für Angreifer, die von Bedrohungsakteuren genutzt werden, um Aktivitäten nach der Ausbeutung durchzuführen, wie z. B. die Aufklärung von Netzwerken, laterale Bewegungen und die Erleichterung des Einsatzes von Folge-Nutzlasten.
Das in Rust geschriebene Manjusaka – was so viel wie „Kuhblume“ bedeutet – wird als Äquivalent zum Cobalt Strike-Framework beworben und kann sowohl Windows- als auch Linux-Betriebssysteme angreifen. Es wird vermutet, dass der Entwickler in der Region Guangdong in China sitzt.
„Das Implantat besteht aus einer Vielzahl von Remote-Access-Trojanern (RAT), die einige Standardfunktionen und ein spezielles Dateiverwaltungsmodul enthalten“, so die Forscher.
Zu den unterstützten Funktionen gehören das Ausführen beliebiger Befehle, das Abgreifen von Browser-Anmeldeinformationen von Google Chrome, Microsoft Edge, Qihoo 360, Tencent QQ Browser, Opera, Brave und Vivaldi, das Sammeln von Wi-Fi-Passwörtern, das Erstellen von Screenshots und das Abrufen umfassender Systeminformationen.
Außerdem soll er das Dateiverwaltungsmodul starten, um eine Vielzahl von Aktivitäten wie das Aufzählen von Dateien sowie die Verwaltung von Dateien und Verzeichnissen auf dem kompromittierten System durchzuführen.
Die ELF-Variante der Hintertür enthält zwar die meisten Funktionen ihres Windows-Pendants, aber nicht die Möglichkeit, Anmeldedaten von Chromium-basierten Browsern zu sammeln und Wi-Fi-Anmeldepasswörter abzufangen.
Teil des chinesischen Sprachframeworks ist auch ein C2-Serverprogramm, das in Golang programmiert wurde und auf GitHub unter „hxxps://github[object 0]com/YDHCUI/manjusaka“ verfügbar ist. Eine dritte Komponente ist ein Admin-Panel, das auf dem Gin-Webframework aufbaut und es einem Betreiber ermöglicht, das Rust-Implantat zu erstellen.
Die Server-Binärdatei ist ihrerseits so konzipiert, dass sie einen infizierten Endpunkt überwacht und verwaltet und je nach Betriebssystem die entsprechenden Rust-Implantate erzeugt und die erforderlichen Befehle ausgibt.
Die Beweiskette deutet jedoch darauf hin, dass es entweder aktiv entwickelt wird oder seine Komponenten anderen Akteuren als Dienstleistung angeboten werden.
Talos hat diese Entdeckung bei der Untersuchung einer Maldoc-Infektionskette gemacht, die COVID-19-Köder in China einsetzt, um Cobalt Strike Beacons auf infizierte Systeme zu bringen, und fügt hinzu, dass derselbe Bedrohungsakteur auch die Implantate des Manjusaka-Frameworks in freier Wildbahn verwendet.
Die Ergebnisse kommen Wochen nachdem bekannt wurde, dass böswillige Akteure eine andere legitime gegnerische Simulationssoftware namens Brute Ratel (BRc4) für ihre Angriffe missbrauchen, um unter dem Radar zu bleiben und der Entdeckung zu entgehen.
„Die Verfügbarkeit des Offensiv-Frameworks Manjusaka ist ein Zeichen für die Beliebtheit weit verbreiteter Offensivtechnologien sowohl bei Crimeware als auch bei APT-Betreibern“, so die Forscher.
„Dieses neue Angriffs-Framework enthält alle Funktionen, die man von einem Implantat erwarten würde, ist aber in den modernsten und portablen Programmiersprachen geschrieben. Der Entwickler des Frameworks kann problemlos neue Zielplattformen wie MacOSX oder exotischere Linux-Varianten, wie sie auf eingebetteten Geräten laufen, integrieren.“