Alchimist C2

Cybersäkerhetsforskare vid Cisco Talos har identifierat ett nytt bakdörrsramverk vid namn Alchimist. Ramverket är skrivet i förenklad kinesiska och har även en malware-modul som fått namnet Insekt. Stöd för operativsystem såsom Windows, Mac och Linux återfinnes.

Insekt är skrivet i programspråket GoLang och exploits har identifierats för Linux Polkit (CVE-2021-4034). Talos skriver även att det finns vissa likheter med ett annat kinesiskt bakdörrsramverk vid namn Manjusaka.

Funktioner som implantatet har:

  • Kontrollera filstorlekar
  • Hämta OS-information
  • Kör godtyckliga kommandon via cmd[.]exe
  • Uppgradera det nuvarande Insekt-implantatet
  • Kör godtyckliga kommandon som en annan användare
  • Sov under tidsperioder som definieras av C2
  • Börja/sluta ta skärmdumpar

Även så kontrollerar implantet

För Linux så används den hårdkodade katalogen /tmp/Res/ samt ett statiskt TLS-certifikat för kommunikation:

Mer information finns i Ciscos artikel.

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta experter inom cybersäkerhet. Kontakta mig gärna på telefonnummer 010 1889848 eller [email protected] om Er organisation behöver hjälp med cybersäkerhet. LinkedIn Twitter

Kommentarer inaktiverade.