Detección del Marco Ofensivo Manjusaka: Nueva Familia de Malware Se Catapulta Rápidamente en Operación

Un nuevo marco de ataque llamado «Manjusaka» está actualmente circulando en la naturaleza. El nombre «Manjusaka», que significa «flor de vaca», está lejos de denotar el alto nivel de potencial ofensivo que posee el marco de ataque. Basándose en amplia evidencia, se cree que los operadores de la campaña detrás de esta familia de malware tienen su base en China.

Los desarrolladores de Manjusaka lo han diseñado para atacar sistemas operativos Windows y Linux, con capacidades de ataque que se asemejan a las de Cobalt Strike y Sliver.

Detectar el Marco de Hackeo Manjusaka

Para identificar posibles ataques que empleen el marco ofensivo Manjusaka, opte por descargar un lote de reglas Sigma. El contenido fue lanzado por nuestro atento Programa de Recompensas por Amenazas Ingenieros de Detección Nattatorn Chuensangarun and Emir Erdogan:

Detección del Marco Manjusaka

Las reglas permiten la detección del user-agent malicioso y la comunicación entre el marco C2 de Manjusaka y la víctima. Las detecciones están disponibles para las 26 plataformas SIEM, EDR y XDR, alineadas con el marco MITRE ATT&CK v.10.

La biblioteca de contenido de detección de SOC Prime aloja artículos de detección que se pueden integrar con más de 26 soluciones SIEM, EDR y XDR. Presione el botón Detect & Hunt para navegar a través de una colección en constante crecimiento de más de 200,000 detecciones a prueba de futuro disponibles para los miembros de la plataforma. Los Cazadores de Amenazas sin una cuenta activa de la Plataforma SOC Prime pueden desbloquear los privilegios de acceso de usuario registrado al pulsar el botón Explore Threat Context .

Detect & Hunt Explore Threat Context

Descripción del Marco Manjusaka

Los desarrolladores de una familia de malware Manjusaka ahora distribuyen una versión de C2 escrita en GoLang con una Interfaz de Usuario en chino simplificado a través de GitHub de forma gratuita. Permite la generación de nuevos implantes maliciosos a medida sin complicaciones. Los implantes escritos en Rust incorporan una serie de capacidades RAT, según el análisis publicado por Cisco Talos. Los investigadores de seguridad reportan versiones EXE y ELF del implante. El malware permite a sus operadores robar datos sensibles como las credenciales de la víctima, información del SSID de Wi-Fi y otra información del sistema. Manjusaka cuenta con capacidades para capturar capturas de pantalla, gestionar archivos y directorios, y ejecutar comandos arbitrarios.

Los ejemplos de malware estudiados indican que Manjusaka aún está en su fase de desarrollo, lo cual es indicativo de malas noticias, ya que en un futuro cercano podríamos enfrentar nuevas variantes que también apunten a otras plataformas populares como macOS.

Los adeptos a la ciberseguridad son bienvenidos a registrarse gratuitamente en la plataforma SOC Prime’s Detection as Code para detectar las últimas amenazas, mejorar la fuente de registros y la cobertura de MITRE ATT&CK, y contribuir activamente para mejorar las capacidades de defensa cibernética de su organización. Los Ingenieros de Detección prometedores pueden unirse con el Programa de Recompensas por Amenazas – La iniciativa de crowdsourcing de SOC Prime, para compartir nuestra dedicación a cooperar en el logro de altos estándares de procesos de ciberseguridad y aumentar la resiliencia frente a amenazas que emergen continuamente.