Cisco Talos Intelligence Groupは10月13日(米国時間)、「Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: Alchimist: A new attack framework in Chinese for Mac, Linux and Windows」において、「Alchimist」と呼ばれるコマンド&コントロール(C2: Command and Control) ツールおよび「Insekt」と呼ばれる遠隔操作ウイルス(RAT: Remote Administration Tool)が含まれた新たなマルウェアフレームワークを発見したと伝えた。Windows、macOS、Linuxをターゲットに設計されたものとみられている。

  • Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: Alchimist: A new attack framework in Chinese for Mac、Linux and Windows

    Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: Alchimist: A new attack framework in Chinese for Mac, Linux and Windows

このマルウェアフレームワークは、プログラミング言語Goで記述された64ビットの実行ファイルとなっており、Webインタフェース用のリソースやWindowsおよびLinux用にコンパイルされたInsektなどのアセットが組み込まれている。InsektはCisco Talos Intelligence Groupが発見した新たなトロイの木馬型マルウェアで、Alchimistのビーコンインプラントとなっており、さまざまなリモートアクセス機能が備わっているとされている。

Alchimistのコマンド&コントロールサーバには簡体字の中国語で書かれたWebインタフェースが提供され、ペイロードの生成、リモートセッションの確立、リモートマシンへのペイロードの展開、スクリーンショットのキャプチャ、リモートシェルコード実行、任意コマンドの実行などの機能が備わっていることが確認されている。

さらに残りのツールのうち、既知の脆弱性「CVE-2021-4034」であるpolkitのpkexecユーティリティの権限昇格問題を悪用したエクスプロイトが埋め込まれたMach-OドロッパおよびMach-Oバインドシェルバックドアなども発見されている。

Cisco Talos Intelligence Groupは、サイバー攻撃がAlchimistのようなマルウェアフレームワークの採用を急速に増やしていると指摘。こうした脅威を防御するために、常に環境内の特権操作を監視して管理者権限を取得しようとする不正なプログラムがいないか、また、組織の環境に対する異常なトラフィックがないかをチェックし、ネットワークにダウンロードされた疑わしいアーティファクトに注意することなどが推奨されている。