14/10/2022  

BOLETÍN NRO 2022-593 

Alchimist es un framework que está escrito en GoLang que es utilizado especialmente debido a la compatibilidad entre los diferentes sistemas operativos este ofrece ejecutables en 64 bits, el cual incluye una interfaz web que permite generar un payload configurado, establecer sesiones remotas, implementar el payload en los computadores remotos, captura de pantalla, ejecutar shellcode de forma remota y ejecutar comandos arbitrarios.

El framework función como un servidor C2 ya que pude almacenar todos los recursos necesarios. Durante la inicialización del servidor C2, el proceso extrae todos los archivos integrados del binario ELF basado en GoLang y los coloca en ubicaciones codificadas en el directorio /tmp/ Res. En el directorio Res contiene el código de la interfaz web y otros directorios, también genera pequeños fragmentos de código PowerShell (Windows) y Wget (Linux) para la implementación del troyano Insekt RAT que se puede configurar para diferentes protocolos de comunicación tales como TLS, SNI, WSS/WS.

El troyano Insekt lleva a cabo los comandos que llegan de los servidores C2 Alchimist en el cual pueden obtener una cantidad de datos del sistema comprometido, funciona de la misma manera en los sistemas Linux y para Mac, aprovechando de la vulnerabilidad CVE-2021-4034 que es una falla de escalada de privilegios.

Se encontró que se utilizó herramientas para movimiento lateral tales como psexec, netcat y fscan.

Indicadores de Compromiso

IP

45[.]32[.]132[.]166

149[.]28[.]54[.]212

95[.]179[.]246[.]73

149[.]28[.]36[.]160

HASH

MD5: d94453c5ead661c4a46ef9095c4476d0

SHA-256: 4837be90842f915e146bf87723e38cc0533732ba1a243462417c13efdb732dcb

MD5: ed391ee0838cd579ba3c77b1a30067ff

SHA-256: d94fa98977a9f23b38d6956aa2bf293cf3f44d1d24fd13a8789ab5bf3e95f560

MD5: cd6d90fbbe45e094b96eeb6018566666

SHA-256: 2f4ef5da60db676272ad102ce0ce7d96f63449400e831a2c6861cf3e61846785

MD5: ab924c9df9eeb00561d5a56dce04c00a

SHA-256: 43a749766b780004527b34b3816031c204b31e8dea67af0a7a05073ff1811046

MD5: e96e2bbe4db122abc73bcd5b149488f4

SHA-256: 21774b77bbf7739178beefe647e7ec757b08367c2a2db6b5bbc0d2982310ef12

SHA-1: 7ae6def4a0231031765a99793bed679297c29a6c

SHA-256: 56ca5d07fa2e8004a008222a999a97a6c27054b510e8dd6bd22048b084079e37

MD5: 04342be193caa1fc2f572c0dcf3bc637

SHA-256: ed487be94bb2a1bc861d9b2871c71aa56dc87f157d4bf88aff02f0054f9bbd41

MD5: fce1cda62e83d21db7aa37858266dee8

SHA-256: ae9f370c89f0191492ed9c17a224d9c41778b47ca2768f732b4de6ee7d0d1459

MD5: 1680fdbcf83225475e3437dbfed88039

SHA-256: ef130f1941077ffe383fe90e241620dde771cd0dd496dad29d2048d5fc478faf

MD5: 9243bbdc47535e088fd1bdbb63e8bcf2

SHA-256: 0c25a05bdddc144fbf1ffa29372481b50ec6464592fdfb7dec95d9e1c6101d0d

MD5: 96149988290d181a9945370e04e4ea26

SHA-256: c9ec5cc0165d1b84fcb767359cf05c30bd227c1f76fbd5855a1286371c08c320

MD5: 523613a7b9dfa398cbd5ebd2dd0f4f38

SHA-256: 3e59379f585ebf0becb6b4e06d0fbbf806de28a4bb256e837b4555f1b4245571

MD5: e981219f6ba673e977c5c1771f86b189

SHA-256: 2da9a09a14c52e3f3d8468af24607602cca13bc579af958be9e918d736418660

MD5: e91701ceb26f6050b02600e3f8b5f373

SHA-256: 574467b68ba2c59327d79dfc12e58577d802e25a292af3b3b1e327858a978e4a

MD5: 703ad40874be6c88d19a1cab90c5aa7c

SHA-256:ec8617cc24edd3d87a5f5b4ae14e2940e493e4cc8e0a7c28e46012481ca58080

MD5: 8225aaf5bb3d4228abcea82cd1ace69d

SHA-256: b44105e3a480e55ac0d8770074e3af92307d172b050beb7542a1022976f8e5a2

MD5: de626c921396eb7ab5a91729858116c4

SHA-256: d80fb2c0fb95f79ab7b356b9e3b33a0553e0e5240372620e87e5be445c5586f8

MD5: ec632040deb431a8c0fdd2e71ff8f331

SHA-256: 3329dc95c8c3a8e4f527eda15d64d56b3907f231343e97cfe4b29b51d803e270

MD5: 19e373b13297de1783cecf856dc48eb0

SHA-256: ca72fa64ed0a9c22d341a557c6e7c1b6a7264b0c4de0b6f717dd44bddf550bca

MD5: f3fe60ed4087f647b95ea9fe0634cda5

SHA-256: 57e4b180fd559f15b59c43fb3335bd59435d4d76c4676e51a06c6b257ce67fb2