Détection du Cadre Offensif Manjusaka : Une Nouvelle Famille de Malware Passe Rapidement en Opération
Table des matières :
Un nouveau cadre d’attaque appelé « Manjusaka » fait actuellement son tour dans la nature. Le nom « Manjusaka », qui signifie « fleur de vache », est loin de désigner le haut niveau de potentiel offensif que le cadre d’attaque porte. Selon de nombreuses preuves, les opérateurs de la campagne derrière cette famille de logiciels malveillants seraient basés en Chine.
Les développeurs de Manjusaka l’ont conçu pour cibler les systèmes d’exploitation Windows et Linux, avec des capacités d’attaque ressemblant à celles de Cobalt Strike et Sliver.
Détecter le cadre de piratage Manjusaka
Pour identifier les attaques possibles utilisant le cadre offensif Manjusaka, optez pour le téléchargement d’un lot de règles Sigma. Le contenu a été publié par notre perspicace Programme de Récompense des Menaces Ingénieurs de Détection Nattatorn Chuensangarun and Emir Erdogan:
Les règles permettent de détecter l’agent utilisateur malveillant et la communication entre le cadre Manjusaka C2 et la victime. Les détections sont disponibles pour les 26 plates-formes SIEM, EDR & XDR, alignées avec le cadre MITRE ATT&CK v.10.
La bibliothèque de contenus de détection de SOC Prime héberge des éléments de détection pouvant être intégrés avec plus de 26 solutions SIEM, EDR et XDR. Appuyez sur le bouton Détecter & Chasser pour parcourir une collection en constante expansion de plus de 200 000 détections à l’épreuve du futur disponibles pour les membres de la plate-forme. Les chasseurs de menaces sans compte actif sur la plate-forme SOC Prime peuvent débloquer les privilèges de l’accès utilisateur enregistré en appuyant sur le bouton Explorer le contexte de la menace .
Détecter & Chasser Explorer le contexte de la menace
Description du Cadre Manjusaka
Les développeurs d’une famille de logiciels malveillants Manjusaka distribuent désormais une version écrite en GoLang de C2 avec une interface utilisateur en chinois simplifié via GitHub gratuitement. Cela permet de générer de nouveaux implants malveillants sur mesure sans tracas. Les implants écrits en Rust intègrent un certain nombre de capacités RAT, selon l’analyse publiée par Cisco Talos. Les chercheurs en sécurité rapportent des versions EXE et ELF de l’implant. Le logiciel malveillant permet à ses opérateurs de voler des données sensibles telles que les identifiants de la victime, les informations Wi-Fi SSID et d’autres informations système. Manjusaka est capable de capturer des captures d’écran, de gérer des fichiers et des répertoires, et d’exécuter des commandes arbitraires.
Les exemples de logiciels malveillants étudiés indiquent que Manjusaka est encore en phase de développement, ce qui signifie que dans un avenir proche, nous pourrions faire face à de nouvelles variantes qui cibleront également d’autres plates-formes populaires telles que macOS.
Les adeptes de la cybersécurité sont invités à s’inscrire gratuitement sur la plate-forme Détection as Code de SOC Prime pour détecter les dernières menaces, améliorer la source de journal et la couverture MITRE ATT&CK, et contribuer activement à renforcer les capacités de défense de cybersécurité de leur organisation. Les ingénieurs de détection prometteurs peuvent rejoindre le Programme de Récompense des Menaces – l’initiative de crowdsourcing de SOC Prime, pour partager notre dévouement à coopérer pour atteindre des normes élevées de processus de cybersécurité et augmenter la résilience face à l’émergence continue de nouvelles menaces.
