Manjusaka Offensive Framework Erkennung: Neue Malware-Familie startet schnell in den Betrieb
Inhaltsverzeichnis:
Ein neuartiges Angriffs-Framework namens „Manjusaka“ macht derzeit die Runde in der Wildnis. Der Name „Manjusaka“, was „Kuhblume“ bedeutet, steht weit entfernt von der Benennung des hohen Angriffspotenzials, das das Angriffs-Framework birgt. Aufgrund zahlreicher Beweise wird angenommen, dass die Kampagnenbetreiber hinter dieser Malware-Familie in China ansässig sind.
Die Entwickler von Manjusaka haben es entwickelt, um Windows- und Linux-Betriebssysteme anzugreifen, wobei seine Angriffsfähigkeiten denen von Cobalt Strike und Sliver ähneln.
Erkennung des Manjusaka-Hacking-Frameworks
Um mögliche Angriffe zu identifizieren, die das Manjusaka-Offensiv-Framework verwenden, entscheiden Sie sich für den Download eines Satzes von Sigma-Regeln. Der Inhalt wurde von unserem aufmerksamen Threat Bounty Program Detection Engineers Nattatorn Chuensangarun and Emir Erdogan:
Erkennung des Manjusaka-Frameworks
Die Regeln ermöglichen die Erkennung des bösartigen User-Agents und der Kommunikation zwischen dem Manjusaka-C2-Framework und dem Opfer. Die Erkennungen sind für die 26 SIEM-, EDR- & XDR-Plattformen verfügbar und mit dem MITRE ATT&CK-Framework v.10 abgestimmt.
Die Detektionsbibliothek von SOC Prime hostet Detektionselemente, die in 26+ SIEM-, EDR- und XDR-Lösungen integriert werden können. Drücken Sie die Detect & Hunt -Taste, um eine ständig wachsende Sammlung von über 200.000 zukunftssicheren Erkennungen zu durchsuchen, die für Plattformmitglieder verfügbar sind. Bedrohungsjäger ohne aktives SOC Prime-Plattformkonto können die Vorteile des Zugangs als registrierter Benutzer freischalten, indem sie auf die Explore Threat Context -Taste drücken.
Detect & Hunt Explore Threat Context
Beschreibung des Manjusaka-Frameworks
Die Entwickler einer Manjusaka-Malware-Familie verteilen inzwischen eine in GoLang geschriebene Version von C2 mit einer Benutzeroberfläche in vereinfachtem Chinesisch kostenlos über GitHub. Es ermöglicht die nahtlose Erstellung neuer maßgeschneiderter bösartiger Implantate. Die in Rust geschriebenen Implantate umfassen eine Reihe von Remote-Access-Trojaner-Funktionen, so die Analyse, die von Cisco Talosveröffentlicht wurde. Die Sicherheitsforscher berichten über EXE- und ELF-Versionen des Implantats. Die Malware ermöglicht es ihren Betreibern, sensible Daten wie die Anmeldeinformationen des Opfers, Wi-Fi-SSID-Informationen und andere Systemdaten zu stehlen. Manjusaka verfügt über die Fähigkeit, Screenshots aufzunehmen, Dateien und Verzeichnisse zu verwalten und beliebige Befehle auszuführen.
Die untersuchten Malware-Beispiele deuten darauf hin, dass sich Manjusaka noch in der Entwicklungsphase befindet, was darauf hindeutet, dass wir in naher Zukunft mit neuen Varianten konfrontiert werden könnten, die auch andere beliebte Plattformen wie macOS ins Visier nehmen.
Cybersecurity-Experten sind herzlich eingeladen, sich kostenlos bei der SOC Prime Detection as Code -Plattform anzumelden, um die neuesten Bedrohungen zu erkennen, die Protokollquelle und die MITRE ATT&CK-Abdeckung zu verbessern und aktiv zur Stärkung der Cyber-Abwehrfähigkeiten ihrer Organisation beizutragen. Vielversprechende Detection Engineers können sich mit dem Threat Bounty Program – SOC Primes Crowdsourcing-Initiative – zusammenschließen, um unser Engagement für die Zusammenarbeit bei der Erreichung hoher Standards von Cybersicherheitsprozessen und der Erhöhung der Widerstandsfähigkeit angesichts kontinuierlich auftretender Bedrohungen zu teilen.
