以色列实体遭 Donut 和 Sliver 框架利用攻击

admin 2024年7月4日21:39:08评论5 views字数 858阅读2分51秒阅读模式

以色列实体遭 Donut 和 Sliver 框架利用攻击聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

以色列实体遭 Donut 和 Sliver 框架利用攻击
网络安全研究员发现了攻击活动,专门通过公开可用的框架如 Donut 和 Sliver 攻击以色列多种实体。
以色列实体遭 Donut 和 Sliver 框架利用攻击

该攻击被指针对性很强。法国公司HarfangLab在上周发布的报告中提到,它“利用特定目标的基础设施和自定义 WordPress 作为 payload 交付机制,但影响不相关垂直行业的多种实体,并依赖于著名的开源恶意软件。”

该公司正在追踪同一名称 Supposed Grasshopper 名下的活动。Supposed Grasshopper 是指受攻击者控制服务器 ("auth.economy-gov-il[.]com/SUPPOSED_GRASSHOPPER.bin"),与第一阶段下载器连接。该下载器用 Nim 编写,属于初级级别,用于从服务器中下载第二阶段的恶意软件。它通过一个虚拟硬盘 (VHD) 文件的方式交付,而该文件疑似通过自定义的 WordPress 站点宣传,是路过式下载计划的一部分。

从该服务器检索的第二阶段的 payload 是 Donut,它是一款 shellcode 生成框架,是部署开源 Cobalt Strike 替代品 Sliver 的管道。研究人员提到,“操纵人员还投入大量精力受过专门的基础设施并部署实际的 WordPress 网站交付 payload。总体而言,该攻击像是小团队的手笔。”

该攻击活动的最终目标目前尚不得知,尽管 HarfangLab 公司表示从理论上来讲它可能与合法的渗透测试操作有关,而这又引发与透明度以及模拟以色列政府机构的质疑。此前不久,SonicWall Capture Labs 威胁研究团队详述了一起利用受陷 Excel 表单作为起始点来释放木马 Orcinius 的感染链事件。该公司表示,“这是一个多阶段木马,它利用Dropbox 和 Google Docs 下载第二阶段 payload 并持续更新。其中包括一个混淆的VBA宏,利用 Windows 监控运行的窗口和键击并使用注册密钥来创建可持久性。”

原文始发于微信公众号(代码卫士):以色列实体遭 Donut 和 Sliver 框架利用攻击

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月4日21:39:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   以色列实体遭 Donut 和 Sliver 框架利用攻击http://cn-sec.com/archives/2920920.html

发表评论

匿名网友 填写信息