Οι ερευνητές παρατήρησαν ένα νέο πλαίσιο επίθεσης μετά την εκμετάλλευση που χρησιμοποιείται , που ονομάζεται Manjusaka, το οποίο μπορεί να αναπτυχθεί ως εναλλακτική λύση στο σύνολο εργαλείων Cobalt Strike που χρησιμοποιείται ευρέως ή παράλληλα με αυτό για πλεονασμό.

Το Manjusaka χρησιμοποιεί εμφυτεύματα γραμμένα στη γλώσσα προγραμματισμού Rust σε πολλαπλές πλατφόρμες, ενώ τα δυαδικά αρχεία του είναι γραμμένα στο εξίσου ευέλικτο GoLang.

Τα εμφυτεύματα RAT (απομακρυσμένης πρόσβασης trojan) υποστηρίζουν την εκτέλεση εντολών, την πρόσβαση σε αρχεία, την αναγνώριση δικτύου και πολλά άλλα, ώστε οι χάκερ να μπορούν να το χρησιμοποιούν για τους ίδιους επιχειρησιακούς στόχους με το Cobalt Strike.

Εκστρατεία και ανακάλυψη

Το Manjusaka ανακαλύφθηκε από ερευνητές στο Cisco Talos, οι οποίοι κλήθηκαν να διερευνήσουν μια μόλυνση από το Cobalt Strike σε έναν πελάτη, έτσι οι φορείς απειλών χρησιμοποίησαν και τα δύο πλαίσια σε εκείνη την περίπτωση.

Η μόλυνση προήλθε μέσω ενός κακόβουλου εγγράφου που μεταμφιέζεται ως αναφορά για ένα κρούσμα COVID-19 στην πόλη Golmud στο Θιβέτ για εντοπισμό επαφών.

Το έγγραφο παρουσίαζε μια μακροεντολή VBA που εκτελείται μέσω του rundll32.exe για να ανακτήσει ένα ωφέλιμο φορτίο δεύτερου σταδίου, το Cobalt Strike, και να το φορτώσει στη μνήμη.

Ωστόσο, αντί να χρησιμοποιούν απλώς το Cobalt Strike ως την κύρια εργαλειοθήκη επίθεσης, το χρησιμοποίησαν για τη λήψη εμφυτευμάτων Manjusaka, τα οποία ανάλογα με την αρχιτεκτονική του κεντρικού υπολογιστή, μπορεί να είναι αρχεία EXE (Windows) ή ELF (Linux).

“Η Cisco Talos ανακάλυψε πρόσφατα ένα νέο πλαίσιο επίθεσης που ονομάζεται “Manjusaka” που χρησιμοποιείται στη φύση και έχει τη δυνατότητα να επικρατήσει σε όλο το τοπίο απειλών. Αυτό το πλαίσιο διαφημίζεται ως απομίμηση του πλαισίου Cobalt Strike”, προειδοποιούν οι ερευνητές της Cisco Talos.