Manjusaka：開発中の類似品

Manjusakaってなんでしょう。
新しく開発中だと考えられる攻撃フレームワークです。
攻撃フレームワークというと有名なところではCobalt Strikeフレームワークがあります。
これは聞いたことがある方が多いのではないでしょうか。

• 動作環境
  攻撃対象として選択できる動作環境は、LinuxとWindowsがあります。
  この両方があれば攻撃に使うには十分に思えます。

   

• 動作方式
  このマルウェアの動作方式は、送り込まれるバイナリとそれを操作する環境の組み合わせで動作するものになっています。
  送り込まれるバイナリはRustで実装されています。流行りですね。
  操作する機構のほうはGo言語で実装されています。操作する機構は、いわゆるコマンド アンド コントロールですね。

送り込まれるものは高機能です。

• モジュラー構造
  送り込まれるものは拡張が容易な構造に実装されています。
  マルウェアの本体は管理的な機能とモジュール管理機能を持っており、ここにいくつものRATモジュールを組み合わせて機能を拡張して利用することができる構造になっています。

   

• 任意コマンド実行
  侵入先で任意のコマンドを実行できます。

   

• ファイル管理機能
  ファイル一覧を取得することができますし、ディレクトリ作成や削除、ファイル削除やファイルの移動もできます。
  ファイルの読み書きの機能も搭載しています。

   

• ネットワーク情報収集機能
  確立状態にあるネットワークセッションの情報を収集します。
  そしてそのセッションを実現しているプロセスの情報も収集します。
  そんなプロセスの情報を収集してどうしようというのでしょう。悪いですね。

   

• ブラウザの資格情報収集機能
  Webブラウザに保存された資格情報を収集します。
  ごっそり持っていかれてしまいそうです。

   

• Wi-Fi情報収集機能
  SSIDなどを収集されてしまいます。

   

• データベースシステムの情報収集機能
  データベースシステムの動作しているポート番号や資格情報を収集します。

この攻撃フレームワークは実際に悪用が確認されていますが、まだ大規模な展開は始まっていないようです。
現時点ではこのツールは無償で入手し利用することができます。
開発は活発に行われているようですので、時間とともにより高機能になっていくことが考えられます。

一部の脅威アクターの動きの中には、Cobalt Strikeから離れようとするものがあるようです。
また一部の脅威アクターの活動の中には、Cobalt StrikeとこちらのManjusakaの両方を使用しているケースもあるようです。
大規模な置き換えが起こる手前の段階なのかもしれません。

このツールは攻撃フレームワークです。
どのように悪用するか、自由度は高そうです。
Cobalt Strikeを悪用して実現された脅威と同じ構造の脅威が新たに始まってしまうと想定しておく必要がありそうです。

参考記事（外部リンク）：Manjusaka: A Chinese sibling of Sliver and Cobalt Strike
blog.talosintelligence.com/2022/08/manjusaka-offensive-framework.html