以色列实体遭 Donut 和 Sliver 框架利用攻击
2024-7-4 18:3:41 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

网络安全研究员发现了攻击活动,专门通过公开可用的框架如 Donut 和 Sliver 攻击以色列多种实体。

该攻击被指针对性很强。法国公司HarfangLab在上周发布的报告中提到,它“利用特定目标的基础设施和自定义 WordPress 作为 payload 交付机制,但影响不相关垂直行业的多种实体,并依赖于著名的开源恶意软件。”

该公司正在追踪同一名称 Supposed Grasshopper 名下的活动。Supposed Grasshopper 是指受攻击者控制服务器 ("auth.economy-gov-il[.]com/SUPPOSED_GRASSHOPPER.bin"),与第一阶段下载器连接。该下载器用 Nim 编写,属于初级级别,用于从服务器中下载第二阶段的恶意软件。它通过一个虚拟硬盘 (VHD) 文件的方式交付,而该文件疑似通过自定义的 WordPress 站点宣传,是路过式下载计划的一部分。

从该服务器检索的第二阶段的 payload 是 Donut,它是一款 shellcode 生成框架,是部署开源 Cobalt Strike 替代品 Sliver 的管道。研究人员提到,“操纵人员还投入大量精力受过专门的基础设施并部署实际的 WordPress 网站交付 payload。总体而言,该攻击像是小团队的手笔。”

该攻击活动的最终目标目前尚不得知,尽管 HarfangLab 公司表示从理论上来讲它可能与合法的渗透测试操作有关,而这又引发与透明度以及模拟以色列政府机构的质疑。此前不久,SonicWall Capture Labs 威胁研究团队详述了一起利用受陷 Excel 表单作为起始点来释放木马 Orcinius 的感染链事件。该公司表示,“这是一个多阶段木马,它利用Dropbox 和 Google Docs 下载第二阶段 payload 并持续更新。其中包括一个混淆的VBA宏,利用 Windows 监控运行的窗口和键击并使用注册密钥来创建可持久性。”

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

伊朗黑客组织声称攻陷以色列核设施网络

伊朗黑客利用恶意软件攻击以色列技术行业

以色列监控公司 QuaDream 利用零点击 exploit 攻击高风险 iPhone

Polonium 黑客组织利用7个后门变体监控以色列组织机构

美国国防承包商 L3Harris 拟收购以色列监控公司 NSO Group

原文链接

https://thehackernews.com/2024/07/israeli-entities-targeted-by.html

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519977&idx=1&sn=3f22445f6463c7a0a101318ea290357e&chksm=ea94bf83dde336952d51f40f5a27f62c92f0a7de0c75e93ac6b1d25df3af53704c9afaa9b70d&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh