- 10,802
- 18
- 8 Ноя 2022
Анатомия современной кибератаки на Ближнем Востоке от Donut до Sliver.
ИБ-компания HarfangLab Для просмотра ссылки Войдиили Зарегистрируйся о новой кампании, нацеленной на различные израильские организации. Злоумышленники используют общедоступные фреймворки Donut и Sliver для осуществления атак.
Кампания, получившая название Supposed Grasshopper, затрагивает предприятия в разных секторах экономики, используя инфраструктуру, ориентированную на конкретные цели, и специально созданные сайты на WordPress для доставки вредоносного ПО.
Вредоносная активность начинается с загрузчика, написанного на языке Nim. Загрузчик подключается к C2-серверу, с которого получает вредоносное ПО второго этапа, доставляемый через файл виртуального жесткого диска (VHD). VHD-файл распространяется через специально созданные сайты на WordPress в рамках схемы Drive-by.
Специально созданный сайт WordPress
Полезная нагрузка второго этапа, полученная с сервера, — это Для просмотра ссылки Войдиили Зарегистрируйся фреймворк генерации шелл-кода, который служит каналом для развертывания альтернативы Cobalt Strike с открытым исходным кодом под названием Sliver.
Цепочка заражения
Исследователи отметили, что операторы кампании приложили заметные усилия для приобретения выделенной инфраструктуры и развертывания реалистичного веб-сайта WordPress для доставки полезных нагрузок. Это позволяет предположить, что за кампанией стоит небольшая, но высокоорганизованная группа.
Несмотря на все усилия исследователей, конечная цель кампании пока остается неизвестной. По предположениям HarfangLab, кампания может быть связана с легитимными операциями по тестированию на проникновение, что поднимает вопросы о прозрачности и необходимости выдавать себя за израильские правительственные учреждения.
Фреймворк управления и контроля Sliver был разработан ИБ-компанией BishopFox. Для просмотра ссылки Войдиили Зарегистрируйся на основе Golang, предназначенную для использования специалистами по безопасности.
Бесчисленные функции Sliver для моделирования вредоносных действий, такие как генерация динамического кода, выполнение полезной нагрузки в памяти и внедрение процессов — сделали его привлекательным инструментом для злоумышленников, стремящихся получить расширенный доступ к целевой системе.
ИБ-компания HarfangLab Для просмотра ссылки Войди
Кампания, получившая название Supposed Grasshopper, затрагивает предприятия в разных секторах экономики, используя инфраструктуру, ориентированную на конкретные цели, и специально созданные сайты на WordPress для доставки вредоносного ПО.
Вредоносная активность начинается с загрузчика, написанного на языке Nim. Загрузчик подключается к C2-серверу, с которого получает вредоносное ПО второго этапа, доставляемый через файл виртуального жесткого диска (VHD). VHD-файл распространяется через специально созданные сайты на WordPress в рамках схемы Drive-by.
Специально созданный сайт WordPress
Полезная нагрузка второго этапа, полученная с сервера, — это Для просмотра ссылки Войди
Цепочка заражения
Исследователи отметили, что операторы кампании приложили заметные усилия для приобретения выделенной инфраструктуры и развертывания реалистичного веб-сайта WordPress для доставки полезных нагрузок. Это позволяет предположить, что за кампанией стоит небольшая, но высокоорганизованная группа.
Несмотря на все усилия исследователей, конечная цель кампании пока остается неизвестной. По предположениям HarfangLab, кампания может быть связана с легитимными операциями по тестированию на проникновение, что поднимает вопросы о прозрачности и необходимости выдавать себя за израильские правительственные учреждения.
Фреймворк управления и контроля Sliver был разработан ИБ-компанией BishopFox. Для просмотра ссылки Войди
Бесчисленные функции Sliver для моделирования вредоносных действий, такие как генерация динамического кода, выполнение полезной нагрузки в памяти и внедрение процессов — сделали его привлекательным инструментом для злоумышленников, стремящихся получить расширенный доступ к целевой системе.
- Источник новости
- www.securitylab.ru