Çinli Siber Saldırı Aracı Alchimist, Cobalt Strike’a Alternatif Olabilir

PoyrazYare

Katılımcı Üye
30 Mar 2019
614
200
Çinli yeni siber saldırı aracı Alchimist, Cobalt Strike’a alternatif olabilir

Windows, Linux ve Mac sistemlerini hedef alan ve aktif olarak istismar edilen tehlikeli bir siber saldırı aracı ortaya çıktı. Cobalt Strike’a benzeyen araç, Cisco Talos araştırmacılarına göre çete geniş yetenek yelpazesiyle İsviçre Çakısı gibi birçok fonksiyona sahip.


BİRDEN FAZLA ARAÇ KULLANARAK SALDIRIYORLAR

Söz konusu grup, “Alchimist” olarak adlandırılan yeni, bağımsız komuta kontrol (C2) aracı, “Insekt” adı verilen daha önce görülmemiş bir uzaktan erişim Truva Atı (RAT) ve macOS’taki güvenlik açıklarından yararlanmak için özel bir arka kapı ve kötü amaçlı yazılım gibi çeşitli araçlardan oluşuyor.

Bunun yanı sıra Alchimist, vekil sunucular, netcat, psexec gibi çift kullanımlı araçlar ve fscan adlı bir internet tarama aracını da içeriyor. Alchimist hakkında yorum yapan Cisco Talos’tan Nick Biasini, “Alchimist, bir tehdit aktörü tarafından nispeten düşük teknik uzmanlıkla hızla dağıtılabilen ve çalıştırılabilen yeni bir C2 aracıdır.” ifadelerini kullanarak aracın kullanım kolaylığına dikkat çekti.


ALCHIMIST NELER YAPABİLİYOR?
13 Ekim’de yayımladıkları blog yazısında Cisco Talos, Alchimist’i, GoLang’ta Basitleştirilmiş Çince ile yazılmış bir ara yüze sahip 64-bit Linux yürütülebilir dosyası olarak tanımladı. Alchimist’in birincil implantı olan Insekt RAT ise aynı zamanda GoLang’ta da uygulanabilyor. Aynı zamanda kötü amaçlı yazılım, C2 sunucusu aracılığıyla özelleştirilebilmesine olanak tanıyan çeşitli uzaktan erişilebilir özelliklere de sahip. Araştırmacıların yazdıkları raporda Alchimist, yapılandırılmış bir payload oluşturabiliyor, uzak oturumlar kurabiliyor, uzak makinelere payloadları dağıtabiliyor, ekran görüntüleri alabiliyor ve uzak kabuk kodu ve rastgele kodlar yürütebiliyor. Söz konusu yetenekleri kendisine kazandıran ise içerisinde macOS için bir Mach-0 arka kapısı ve büyük Linux dağıtımlarıyla ilişkili bir kök programda (CVE-2021-4034) bulunan bir güvenlik açığından yararlanan ayrı bir macOS zararlı yazılım dropper’ı dâhil olmak üzere çeşitli kötü amaçlı yazılım araçları olarak biliniyor. Şirketin dikkate değer olarak vurguladığı yeni C2 aracının bir başka özelliği ise Windows ve Linux için PowerShell ve wget kod parçacıkları oluşturma yeteneği olması.



DİĞER ARAÇLARLA KARŞILAŞTIRDILAR

Cisco Talos, Alchimist’İ yakın zamanda keşfettiği Manjusaka adlı başka bir saldırı aracıyla karşılaştırdı. Ağustos ayında yayımladıkları bir raporda şirket, Manjusaka’yı, bir tehdit aktörünün COVID-19 ve Çin temalı belgeleri hedef alan bir kampanyada aktif olarak kullanılan Cobalt Strike ve Sliver’ın Çinli bir kardeşi olarak tanımladı.Hem Alchimist hem de Manjusaka, benzer tasarım felsefelerine ancak farklı uygulamalara sahip bağımsız, tek dosya tabanlı C2 araçları olarak biliniyor. Cisco Talos, her ikisinin de kurulum gerektirmeden kullanıma hazır hâle geldiğini ve her ikisinin de anında Insekt RAT gibi implantları üretebildiğini söyledi.


 
Son düzenleme:
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.