Rust-фреймворк Manjusaka умеет атаковать системы под управлением Linux и Windows

Исследователи отмечают, что фреймворк состоит из множества функций трояна удаленного доступа (RAT), включая стандартные возможности вредоносных программ этого типа и специальный модуль, используемый для управления файлами в зараженной системе.

Согласно отчету Cisco Talos, Manjusaka позволяет злоумышленникам выполнять произвольные команды в системе жертвы, создавать скриншоты, собирать пароли от Wi-Fi, получать полную информацию о системе, а также красть учетные данные из браузеров Google Chrome, Microsoft Edge, Qihoo 360, Tencent QQ Browser, Opera, Brave и Vivaldi. Об этом пишет Securitylab.

Кроме того, у фреймворка есть несколько компонентов:

• Бэкдор в ELF-формате, включающий в себя большую часть функций Manjusaka, за исключением сбора учетных данных из браузеров на базе Chromium и паролей от Wi-FI;
• Golang-бинарник, необходимый для мониторинга и администрирования зараженной конечной точки. Кроме этого, он используется для выдачи команд и создания нужных Rust -имплантов в зависимости от ОС жертвы.
• Панель администратора, созданная на базе веб-фреймворка Gin, которая позволяет оператору создавать кастомные версии Rust-имплантов.

Исследователи предполагают, что вредоносный фреймворк находится в стадии активной разработки, либо некоторые его компоненты продаются другим злоумышленникам.

Talos заявила, что обнаружила Manjusaka в ходе расследования цепочки атак, в ходе которой неизвестные хакеры использовали фальшивые документы для внедрения маячков Cobalt Strike в системы жертв. Тогда злоумышленники использовали импланты из фреймворка Manjusaka в дикой природе.