网络安全研究人员发现了一场针对以色列各实体的攻击活动,该攻击使用了 Donut 和 Sliver 等公开可用的框架。
HarfangLab 在上周的一份报告中表示,此次攻击活动被认为具有高度针对性,“利用针对特定目标的基础设施和定制的 WordPress 网站作为有效载荷传送机制,但影响到不相关垂直领域的各种实体,并依赖于知名的开源恶意软件”。
这家法国公司正在以 Supposed Grasshopper 为名跟踪该活动。它指的是攻击者控制的服务器(“auth.economy-gov-il[.]com/SUPPOSED_GRASSHOPPER.bin”),第一阶段下载程序会连接到该服务器。
这个用 Nim 编写的下载器很初级,其任务是从暂存服务器下载第二阶段恶意软件。它通过虚拟硬盘 (VHD) 文件进行传输,该文件被怀疑是通过自定义 WordPress 网站传播的,属于驱动下载计划的一部分。
从服务器检索的第二阶段有效载荷是Donut ,一个 shellcode 生成框架,它作为部署名为Sliver的开源Cobalt Strike替代品的管道。
研究人员表示:“运营商还付出了巨大努力,获取专用基础设施并部署真实的 WordPress 网站来投递有效载荷。总的来说,这次活动感觉像是一支小团队的杰作。”
该活动的最终目标目前尚不清楚,但 HarfangLab 推测它也可能与合法的渗透测试操作有关,这种可能性引发了一系列有关透明度和冒充以色列政府机构的必要性的问题。
此次披露之际,SonicWall Capture Labs 威胁研究团队详细介绍了一条感染链,该链使用设有陷阱的 Excel 电子表格作为起点,投放一种名为 Orcinius 的木马。
该公司表示:“这是一个多阶段木马,它使用 Dropbox 和 Google Docs 下载第二阶段的有效载荷并保持更新。它包含一个模糊的 VBA 宏,可以挂接到 Windows 中以监视正在运行的窗口和击键,并使用注册表项创建持久性。”