新的“曼珠沙华”攻击框架及其威胁

主要要点

中国的攻击者已经开始使用新的曼珠沙华攻击框架，这是一种被推广作为Cobalt Strike替代品的工具。研究人员在一份伪装为COVID19病例报告的恶意文档中首次发现了曼珠沙华，该文档中包含了一个VBA宏，用于检索和加载Cobalt Strike作为二级有效载荷。曼珠沙华的Windows和Linux版本均具备远程访问木马功能，能执行任意命令，窃取浏览器存储的凭证，并且具有WiFi SSID和密码外泄能力，以及文件管理模块，支持文件列举、目录创建和文件删除。这个新攻击框架用最现代和可携带的编程语言编写，使得开发者能够轻松集成新的目标平台，如MacOSX等。

根据BleepingComputer的报导，中国的威胁行为者正在使用新的几乎可以与Cobalt Strike相媲美的曼珠沙华攻击框架。Cisco Talos的研究人员在一份伪装成COVID19病例报告的恶意文档中首次发现了这一攻击框架。这份文档包含了一个VBA宏，允许检索和加载Cobalt Strike作为第二阶段的有效载荷。

安易加速器官网正版

有趣的是，Cobalt Strike不仅作为主要攻击工具被利用，还用来促使曼珠沙华的下载，以便于Windows或Linux系统的攻击利用。这意味著，这个新框架的功能设计不仅限于最初的攻击，还为恶意行为者的后续行动提供了便利。

曼珠沙华的Windows和Linux版本都内置有远程访问木马，具备执行任意命令的能力，包括导致浏览器存储的凭证窃取、WiFi SSID和密码的外泄。此外，它的文件管理模块还支持文件列举、目录创建和文件删除等功能。Cisco Talos指出：这个新攻击框架包含了所有预期的植入特征，然而，它是用最现代和可携带的编程语言编写的。开发者能轻易整合新的目标平台，例如MacOSX或在嵌入式设备上运行的各种Linux版本。开发者为C2提供的完全功能版本，使得这个框架被恶意行为者广泛采用的可能性大大增加。

中国黑客利用的新型黑客框架