قراصنة صينيون يستخدمون Cobalt Strike جديد من أجل شن هجمات سيبرانية.
تمكن باحثو الأمن السيبراني من تحديد إطار هجوم جديد يسمى Manjusaka ، والذي يمكن أن يكون بديلاً جذابًا ومنافسًا لـ Cobalt Strike.
ووفقاُ للتقارير حدد الباحثون إطارًا جديدًا لهجمات ما بعد الاستغلال يسمى Manjusaka والذي يتم استخدامه في الهجمات. Manjusaka هو بديل لمجموعة أدوات Cobalt Strike الشهيرة.
تسمح Manjusaka لعمل RAT لتنفيذ الأوامر والوصول إلى الملفات والتجسس على الشبكة وما إلى ذلك وكل ذلك عن طريق تعليمات مكتوبة بلغة Rust. لذلك ، يمكن للقراصنة استخدام Manjusaka لنفس أغراض Cobalt Strike.
تم التعرف على Manjusaka بواسطة باحثي Cisco Talos.
تبدأ مراحل سلسلة الهجوم ل Manjusaka من خلال وثيقة يُزعم أنها تتعلق بحالة Covid-19 وتتبع مخالطيها.
يحتوي هذا المستند على ماكرو Visual Basic for Applications (VBA) يتم تشغيله من خلال rundll32.exe وتحميله في الذاكرة .
حذر باحثو سيسكو من أن Manjusaka يتم الترويج له كمحاكي لإطار Cobalt Strike. تتمتع كل من إصدارات Windows و Linux بقدرات مماثلة وتستفيد من آليات اتصال مماثلة.
يدعم RAT تنفيذ االأوامر من خلال cmd.exe ، ويجمع بيانات المصادقة المخزنة في متصفحات الويب ، و Wi-Fi SSID وكلمة المرور ، ويحدد اتصالات الشبكة ، وأسماء الحسابات ، والمجموعات المحلية ، إلخ.
ومن خصائص هذا ال RAT أيضًا سرقة بيانات المصادقة Premium Softnavigate ، والتقاط لقطات شاشة لسطح المكتب ، وقائمة العمليات الجارية على الكمبويتر ، ومراقبة مواصفات الأجهزة ودرجات الحرارة.
يمكن لوحدة إدارة الملفات الخاصة بها حساب الملفات وإنشاء الدلائل وحذف الملفات أو الدلائل. يمكن لهذه الوحدة أيضًا نقل الملفات بين مواقع مختلفة ، والحصول على المسار الكامل للملف وقراءة محتويات الملفات وكتابتها.
يحتوي إطار عمل الهجوم الجديد هذا على جميع الإمكانات ، على الرغم من أنه مكتوب بأحدث لغات البرمجة.
يمكن التنبؤ بالاستخدام الشائع لهذه البرنامج الضار من قبل جهات خبيثة ومجموعات الاختراق المتقدمة. يعتقد الباحثون أن مطوري هذا البرنامج موجودون في الصين لأن الوثيقة المصابة مكتوبة باللغة الصينية. لذلك يجب أن نتوقع الاستخدام الشائع لمانجوساكا في حملات مجموعات الاختراق المتقدمة الصينية!
