聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该攻击被指针对性很强。法国公司HarfangLab在上周发布的报告中提到,它“利用特定目标的基础设施和自定义 WordPress 作为 payload 交付机制,但影响不相关垂直行业的多种实体,并依赖于著名的开源恶意软件。”
该公司正在追踪同一名称 Supposed Grasshopper 名下的活动。Supposed Grasshopper 是指受攻击者控制服务器 ("auth.economy-gov-il[.]com/SUPPOSED_GRASSHOPPER.bin"),与第一阶段下载器连接。该下载器用 Nim 编写,属于初级级别,用于从服务器中下载第二阶段的恶意软件。它通过一个虚拟硬盘 (VHD) 文件的方式交付,而该文件疑似通过自定义的 WordPress 站点宣传,是路过式下载计划的一部分。
从该服务器检索的第二阶段的 payload 是 Donut,它是一款 shellcode 生成框架,是部署开源 Cobalt Strike 替代品 Sliver 的管道。研究人员提到,“操纵人员还投入大量精力受过专门的基础设施并部署实际的 WordPress 网站交付 payload。总体而言,该攻击像是小团队的手笔。”
该攻击活动的最终目标目前尚不得知,尽管 HarfangLab 公司表示从理论上来讲它可能与合法的渗透测试操作有关,而这又引发与透明度以及模拟以色列政府机构的质疑。此前不久,SonicWall Capture Labs 威胁研究团队详述了一起利用受陷 Excel 表单作为起始点来释放木马 Orcinius 的感染链事件。该公司表示,“这是一个多阶段木马,它利用Dropbox 和 Google Docs 下载第二阶段 payload 并持续更新。其中包括一个混淆的VBA宏,利用 Windows 监控运行的窗口和键击并使用注册密钥来创建可持久性。”
原文始发于微信公众号(代码卫士):以色列实体遭 Donut 和 Sliver 框架利用攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论