Les chercheurs de Cisco TALOS ont détecté et analysé un outil (prétendument d’origine chinoise) utilisé dans les opérations APT. Il s’agit d’Alchimist, un framework polyvalent capable de générer des charges utiles pour différents systèmes d’exploitation et comprenant un C2 avec des capacités d’administration à distance. Ce qui est intéressant, c’est que tout cela est inclus dans un seul binaire écrit dans le langage de programmation Go.
Alchimist s’inscrit dans la nouvelle vague d’outils issus des langages de programmation modernes, tels que Go ou Rust, déjà mentionnés. Ces langages sont appelés à remplacer le vénérable langage C et son dérivé C++ et commencent donc à attirer les auteurs de logiciels malveillants en raison de leur capacité à générer un code hautement optimisé, facilement portable et exempt de la plupart des bogues de gestion de la mémoire, ainsi que de leur capacité de développement rapide.
En particulier, le fait que tout le développement puisse être condensé en un seul binaire constitue un autre attrait majeur pour les auteurs de logiciels malveillants, leur permettant de distribuer facilement leurs créations via un seul fichier sans avoir à s’appuyer sur des bibliothèques externes. Au prix, toutefois, d’une augmentation de la taille du binaire.
Il est intéressant de noter que tout l’arsenal découvert par les chercheurs de TALOS était téléchargé et accessible sur un serveur web avec un index ouvert auquel on pouvait accéder en entrant simplement son adresse IP.
Plus d’information:
https://blog.talosintelligence.com/2022/10/alchimist-offensive-framework.html
Laisser un commentaire