2022年10月14日 / 最終更新日 : 2022年10月14日 Kazuo_Komoriya ほぼこもセキュリティニュース

AlchimistとInsekt

ほぼこもセキュリティニュース By Terilogy Worx

AlchimistはC2フレームワークで、Insektはリモート管理機能を備えたマルウェアです。
どちらも最近観測されたものです。
こんな感じです。

  • C2のUI
    Alchimistには、リモート管理機能を備えた簡体字中国語のWebインターフェースが搭載されています。
  • ターゲットOS
    この攻撃フレームワークは、Windows、Linux、Macをターゲットとします。
  • 採用されているコンピュータ言語
    AlchimistとInsektはどちらもGoで実装されています。
  • Alchimistの機能
    Goで記述された64ビットLinux実行可能ファイルで、Webインターフェースのリソースや、WindowsおよびLinux用にコンパイルされたInsekt RATペイロードの内容を含みます。
    そのWebインターフェースでは、構成されたペイロードの生成、リモートセッションの確立、リモートマシンへのペイロードの展開、スクリーンショットのキャプチャ、リモートシェルコードの実行、および任意のコマンドの実行が可能です。
    Alchimistは他のマルウェアを流し込む機能も有しますが、そのなかにはかつて大きな話題となったPwnKitのmacOS向けのドロッパーも含まれています。
    さらにpsexec、netcatなどのいかようにでも悪用ができるツールも配布できます。
    fscan(イントラネット スキャン ツール)、frp(データの引き出しに使用できる高速リバース プロキシ)を使った活動も実施します。
  • Insektの機能
    InsektはAlchimistから操作される各種機能を実際に侵入先で実行するリモートアクセストロイです。
    侵入先で使用する特権昇格用ツールも連携して使用されます。

少し前にManjusakaというAlchimistの機能に論理的な類似性の高いC2フレームワークも観測されています。
利用開始が簡単なC2フレームワークが量産されるような状況になってきているということを示しているように考えられます。

参考記事(外部リンク):Alchimist: A new attack framework in Chinese for Mac, Linux
and Windows
blog.talosintelligence.com/2022/10/alchimist-offensive-framework.html

カテゴリー
ほぼこもセキュリティニュース
News

前の記事

世界トップクラスの専門家による情報セキュリティ国際会議「CODE BLUE 2022」にセカンドスポンサーとして参加します
2022年10月13日
ほぼこもセキュリティニュース
ほぼこもセキュリティNews②

次の記事

Ducktail PHP版
2022年10月17日