Злой брат инструментов Silver и Cobalt Strike – новый китайский Rust-фреймворк Manjusaka

Manjusaka продвигается разработчиками как аналог Cobalt Strike , способный атаковать Linux и Windows . Исследователи отмечают, что фреймворк состоит из множества функций трояна удаленного доступа ( RAT ), включая стандартные возможности вредоносных программ этого типа и специальный модуль, используемый для управления файлами в зараженной системе.

Согласно отчету Cisco Talos, Manjusaka позволяет злоумышленникам выполнять произвольные команды в системе жертвы, создавать скриншоты, собирать пароли от Wi-Fi, получать полную информацию о системе, а также красть учетные данные из браузеров Google Chrome, Microsoft Edge, Qihoo 360, Tencent QQ Browser, Opera, Brave и Vivaldi.

Кроме того, у фреймворка есть несколько компонентов:

• Бэкдор в ELF-формате, включающий в себя большую часть функций Manjusaka, за исключением сбора учетных данных из браузеров на базе Chromium и паролей от Wi-FI;

• Golang-бинарник, необходимый для мониторинга и администрирования зараженной конечной точки. Кроме этого, он используется для выдачи команд и создания нужных Rust -имплантов в зависимости от ОС жертвы.

• Панель администратора, созданная на базе веб-фреймворка Gin, которая позволяет оператору создавать кастомные версии Rust-имплантов.

Исследователи предполагают, что вредоносный фреймворк находится в стадии активной разработки, либо некоторые его компоненты продаются другим злоумышленникам.

Talos заявила, что обнаружила Manjusaka в ходе расследования цепочки атак, в ходе которой неизвестные хакеры использовали фальшивые документы для внедрения маячков Cobalt Strike в системы жертв. Тогда злоумышленники использовали импланты из фреймворка Manjusaka в дикой природе.