网络安全研究员发现了攻击活动，专门通过公开可用的框架如 Donut 和 Sliver 攻击以色列多种实体。

该攻击被指针对性很强。法国公司HarfangLab在上周发布的报告中提到，它“利用特定目标的基础设施和自定义 WordPress 作为 payload 交付机制，但影响不相关垂直行业的多种实体，并依赖于著名的开源恶意软件。”

该公司正在追踪同一名称 Supposed Grasshopper 名下的活动。Supposed Grasshopper 是指受攻击者控制服务器 ("auth.economy-gov-il[.]com/SUPPOSED_GRASSHOPPER.bin")，与第一阶段下载器连接。该下载器用 Nim 编写，属于初级级别，用于从服务器中下载第二阶段的恶意软件。它通过一个虚拟硬盘 (VHD) 文件的方式交付，而该文件疑似通过自定义的 WordPress 站点宣传，是路过式下载计划的一部分。

从该服务器检索的第二阶段的 payload 是 Donut，它是一款 shellcode 生成框架，是部署开源 Cobalt Strike 替代品 Sliver 的管道。研究人员提到，“操纵人员还投入大量精力受过专门的基础设施并部署实际的 WordPress 网站交付 payload。总体而言，该攻击像是小团队的手笔。”

该攻击活动的最终目标目前尚不得知，尽管 HarfangLab 公司表示从理论上来讲它可能与合法的渗透测试操作有关，而这又引发与透明度以及模拟以色列政府机构的质疑。此前不久，SonicWall Capture Labs 威胁研究团队详述了一起利用受陷 Excel 表单作为起始点来释放木马 Orcinius 的感染链事件。该公司表示，“这是一个多阶段木马，它利用Dropbox 和 Google Docs 下载第二阶段 payload 并持续更新。其中包括一个混淆的VBA宏，利用 Windows 监控运行的窗口和键击并使用注册密钥来创建可持久性。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~