新型攻击框架 Alchimist 正在针对多种操作系统展开攻击

关键要点

• 一种新的中文命令与控制（C2）攻击框架 Alchimist 被发现，广泛针对 Windows、Linux 和 Mac 操作系统。
• Alchimist 具有 web 界面，支持远程会话、远程命令执行及屏幕截图等功能。
• 该框架与另一工具 Manjusaka 存在相似之处，但在实现细节上有所不同。
• Cisco Talos 建议防御者采用分层安全模型，监测并阻止不同攻击面的威胁。

近日，研究人员发现了一种新的中文单文件命令与控制（C2）攻击框架，名为“Alchimist”，它正在针对 Windows、Linux 和 Mac系统进行广泛的攻击。根据 ，该框架是一个 64 位的 Linux 可执行文件，使用GoLang编写，内置了用于 Web 界面和 Inseket RAT有效载荷的资源，专为 Windows 和 Linux 设计。

报告指出，“Alchimist C2 具有一个使用简体中文编写的 web界面，可以生成配置的有效载荷，建立远程会话，将有效载荷部署到远程机器，捕捉屏幕截图，执行远程 shellcode，并运行任意命令。”

该框架与 Cisco Talos 在八月发现的另一个工具
有一些相似之处：两者都是基于单文件的，具有植入程序和 web 界面，并且都是用中文编写的。然而，在实现方式上却存在不同。

尽管 的作者使用 Gin Web 框架和 asset bundling框架 packr 来放置和存储植入程序，Alchimist的开发者则完全利用了基本的 GoLang 特性来实现其功能。

此外，Cisco Talos 研究人员发现，Alchimist 除了支持常规 HTTP/S 外，还支持 SNI、WSS/WS 等协议。而 Manjusaka只支持 HTTP，尽管其文档中提到了 SNI 和 WSS/WS。

一位Cisco Talos的威胁研究人员表示，“这两种框架在全球范围内越来越受到威胁行为者的欢迎，因为许多人希望从流行工具如 Cobalt Strike 和
Sliver 中进行多样化。”

针对这一攻击框架，Cisco Talos的研究人员建议防御者应实施分层安全模型，以检测和阻止不同攻击面的威胁，如终端、电子邮件和网络。同时，安全团队应注意异常流量，并对与可疑外部服务器联系的终端保持警惕。

研究人员还发现，在他们分析的一个活跃的 C2 服务器上，存在一个为 macOS 编写的恶意 GoLang可执行文件。该可执行文件表现得像一个恶意软件投放器，包含一个针对 polkit 的 pkexec工具中的特权提升漏洞（CVE-2021-4034）的利用代码。

“然而，这个实用程序并不是在 MacOSX 上默认安装的，这意味着特权提升并不保证。此外，投放器还会将一个 shell绑定到一个端口，为操作员提供在受害者机器上的远程 shell，”报告中写道。

网络威胁联盟（Cyber Threat Alliance）总裁兼首席执行官迈克尔·丹尼尔（Michael Daniel）在接受 SC媒体采访时表示，受中国犯罪团伙的影响，像 Alchimist 这样的框架可能会使得关联方更容易使用，因为它不需要英语技能。

丹尼尔补充说道，“的网络行为者经常使用商品化的犯罪工具来执行他们的活动，以使归属变得更加困难，但我认为不必过于解读这一发现，只是表明市场上确实存在能被中文环境操作的恶意软件。”