Detecção do Framework Ofensivo Manjusaka: Nova Família de Malwares Rapidamente Entra em Operação

Uma nova estrutura de ataque chamada “Manjusaka” está atualmente se espalhando na natureza. O nome “Manjusaka,” que significa “flor de vaca”, está longe de denotar o alto nível de potencial ofensivo que a estrutura de ataque carrega. Derivando de amplas evidências, acredita-se que os operadores da campanha por trás desta família de malware sejam baseados na China.

Os desenvolvedores do Manjusaka projetaram-no para atingir OS Windows e Linux, com capacidades de ataque semelhantes às de Cobalt Strike e Sliver.

Detectar Estrutura de Hacking Manjusaka

Para identificar possíveis ataques que empregam a estrutura ofensiva Manjusaka, opte por baixar um lote de regras Sigma.O conteúdo foi liberado pelo nosso atento Programa de Recompensas de Ameaças Engenheiros de Detecção Nattatorn Chuensangarun and Emir Erdogan:

Detecção da Estrutura Manjusaka

As regras permitem a detecção do user-agent malicioso e a comunicação entre a estrutura C2 Manjusaka e a vítima. As detecções estão disponíveis para as 26 plataformas SIEM, EDR & XDR, alinhadas com o framework MITRE ATT&CK v.10.

A biblioteca de conteúdo de detecção da SOC Prime hospeda itens de detecção que podem ser integrados com mais de 26 soluções SIEM, EDR e XDR. Pressione o botão Detect & Hunt para navegar por uma coleção crescente de mais de 200.000 detecções à prova de futuro disponíveis para membros da plataforma. Caçadores de Ameaças sem uma conta ativa na plataforma SOC Prime podem desbloquear os privilégios de acesso de usuário registrado pressionando o botão Explore Threat Context .

Detect & Hunt Explore Threat Context

Descrição da Estrutura Manjusaka

Os desenvolvedores da família de malware Manjusaka agora distribuem uma versão do C2 escrita em GoLang com uma Interface de Usuário em Chinês Simplificado via GitHub gratuitamente. Isso permite a geração de novos implantes maliciosos sob medida sem complicações. Os implantes escritos em Rust incorporam várias capacidades de RAT, lê a análise publicada pela Cisco Talos. Os pesquisadores de segurança relatam versões EXE e ELF do implante. O malware permite a seus operadores roubar dados sensíveis, como credenciais da vítima, informações de SSID de Wi-Fi e outras informações do sistema. O Manjusaka vem com capacidades de capturar telas, gerenciar arquivos e diretórios, e executar comandos arbitrários.

Os exemplos de malware estudados indicam que o Manjusaka ainda está em sua fase de desenvolvimento, indicativo de más notícias de que, num futuro próximo, podemos enfrentar suas novas variantes que também terão como alvo outras plataformas populares como macOS.

Especialistas em cibersegurança são bem-vindos para se inscrever gratuitamente na plataforma Detecção como Código da SOC Prime para detectar as ameaças mais recentes, melhorar a fonte de log e a cobertura do MITRE ATT&CK, e contribuir ativamente para reforçar as capacidades de defesa cibernética de sua organização. Engenheiros de Detecção promissores podem unir forças com o Programa de Recompensas de Ameaças – iniciativa de crowdsourcing da SOC Prime, para compartilhar nossa dedicação em cooperar para alcançar altos padrões de processos de cibersegurança e elevar a resiliência diante de ameaças que emergem continuamente.