Alchimist, el nuevo 'framework' de ataque chino que apunta a Windows, Linux y macOS
Alchimist es fácil de desplegar y ofrece a los atacantes un amplio conjunto de funcionalidades con las que pueden causar estragos.
Los investigadores han descubierto un nuevo framework de ataque de origen chino. El framework se compone de un backend de comando y control (C2) apodado Alchimist y un troyano de acceso remoto (RAT) personalizable para máquinas Windows y Linux. El framework también puede utilizarse para generar shellcode de ataque basado en PowerShell o distribuir implantes maliciosos para otras plataformas como macOS.
"Nuestro descubrimiento de Alchimist es un indicio más de que los actores de amenazas están adoptando rápidamente frameworks C2 listos para usar para llevar a cabo sus operaciones", afirman los investigadores de Cisco Talos en un nuevo informe. "Un framework C2 similar listo para funcionar llamado Manjusaka fue revelado recientemente por Talos".
Alchimist es un backend C2 independiente
La herramienta Alchimist está escrita en GoLang y se despliega en los servidores como un único archivo independiente que contiene tanto los implantes como la interfaz de usuario que los atacantes utilizan para interactuar con los sistemas de sus víctimas. El hecho de que el backend esté contenido en un único ejecutable multiplataforma facilita el despliegue por parte de los atacantes.
Los componentes de Alchimist, incluida la interfaz de usuario basada en la web, se almacenan en el archivo ejecutable como activos GoLang y se desempaquetan y escriben en un directorio llamado /tmp/Res/ al iniciarse. También se escribe en el directorio /tmp/ un certificado HTTPS autofirmado que es utilizado por el servidor C2 para cifrar la comunicación con los implantes de la víctima. La carpeta ‘Res’ contiene el código de la interfaz web y otros directorios, incluyendo uno llamado Payload donde se almacenan los binarios de Windows y Linux para una RAT llamada Insekt.
La interfaz web de Alchimist utiliza el chino simplificado y ofrece varias opciones a sus usuarios, incluida la posibilidad de personalizar los implantes. Los atacantes pueden elegir los protocolos de comunicación soportados por el implante (TLS, SNI y WSS/WS), el nombre de host o la IP para el servidor C2, la plataforma entre Windows y Linux, y si el implante se ejecutará como un daemon (servicio) en el endpoint elegido.
Cuando se utiliza esta función, la herramienta C2 cargará los binarios predeterminados de Insekt en la memoria y parchará automáticamente su código, guardando los binarios resultantes en un directorio temporal y sirviéndolos al atacante para que los descargue. Esta es una técnica mucho más simple que compilar nuevos binarios desde el código fuente y no requiere ninguna dependencia de compilación que pueda no existir en el servidor.
Aunque hay varias similitudes entre Alchimist y el otro framework C2 independiente llamado Manjusaka, ya que ambos están escritos en GoLang y ofrecen una funcionalidad similar, incluyendo la agrupación de los implantes maliciosos, también hay diferencias de implementación. Mientras que Manjusaka utiliza el framework web Gin para implementar la interfaz de usuario y utiliza packr para la gestión de activos, Alchimist implementó toda su funcionalidad utilizando características y código básico de GoLang.
"Hemos observado que Alchimist, además del HTTP/S habitual, también soporta protocolos como SNI, WSS/WS", dijeron los investigadores de Talos. "Manjusaka, por otro lado, menciona SNI, WSS/WS en su documentación pero sólo soporta HTTP".
Otra característica interesante de Alchimist es que, además de personalizar la RAT Insekt, permite a los atacantes generar fragmentos de código PowerShell y wget para descargar la RAT Insekt desde el servidor C2. Los atacantes pueden integrar estos fragmentos de código en otros mecanismos de infección, como documentos maliciosos o archivos LNK maliciosos.
En un servidor C2 activo que analizaron, los investigadores también encontraron un ejecutable malicioso escrito en GoLang para macOS. Este ejecutable actúa como un dropper de malware e intenta elevar los privilegios explotando la vulnerabilidad PwnKit en la utilidad pkexec de polkit (CVE-2021-4034). Lo interesante es que polkit no es una utilidad por defecto en macOS y es más común encontrarla en Linux. De hecho, los investigadores también encontraron la variante de Linux del mismo exploit en el servidor.
El dropper de macOS, si tiene éxito, abriría una shell inversa en la máquina infectada, dando a los atacantes el control remoto sobre ella. Los investigadores también encontraron shellcode de Windows asociado a Meterpreter, el agente de implantación del framework de pruebas de penetración Metasploit.
Insekt es una RAT completa
El implante Insekt, asociado a Alchimist, también está escrito en GoLang, por lo que es multiplataforma. Proporciona a los atacantes una variedad de capacidades, incluyendo la recopilación de información identificable sobre el sistema de la víctima, la toma de capturas de pantalla, la ejecución de comandos como un usuario específico, la ejecución de shellcode, el escaneo de IP y números de puerto en la red, la manipulación de claves SSH, y las conexiones proxy.
La variante de Linux lista el contenido del directorio .ssh donde se encuentra normalmente la configuración SSH del usuario. A continuación, intenta añadir nuevas claves SSH al archivo authorised_keys, lo que permite a un atacante conectarse directamente al sistema a través de SSH utilizando sus propias claves.
La RAT también implementa shells interactivos basados en PowerShell, bash y cmd.exe a través de los cuales los atacantes pueden ejecutar conjuntos de comandos predefinidos en los sistemas. Un módulo llamado ‘Command Line Interface (CLI)’ permite además a los atacantes realizar varias acciones como navegar por directorios, enumerar archivos en su interior, descargar archivos desde ubicaciones remotas, descomprimir archivos y escribir archivos en el disco.
"La funcionalidad de las interfaces web de Manjusaka y Alchimist que exhiben capacidades de administración remota, realizadas a través de las RAT, significa la plétora de funcionalidades empaquetadas en estos marcos C2", dijeron los investigadores. "Un actor malicioso que obtenga acceso privilegiado al shell en la máquina de la víctima es como tener una navaja suiza, lo que permite la ejecución de comandos arbitrarios o shellcodes en el entorno de la víctima, dando lugar a efectos significativos en la organización objetivo".
