网络安全研究人员发现了一场针对以色列各实体的攻击活动,该攻击使用了 Donut 和 Sliver 等公开可用的框架。
HarfangLab 在上周的一份报告中表示,此次攻击活动被认为具有高度针对性,“利用针对特定目标的基础设施和定制的 WordPress 网站作为有效载荷传送机制,但影响到不相关垂直领域的各种实体,并依赖于知名的开源恶意软件”。
这家法国公司正在以 Supposed Grasshopper 为名跟踪该活动。它指的是攻击者控制的服务器(“auth.economy-gov-il[.]com/SUPPOSED_GRASSHOPPER.bin”),第一阶段下载程序会连接到该服务器。
这个用 Nim 编写的下载器很初级,其任务是从暂存服务器下载第二阶段恶意软件。它通过虚拟硬盘 (VHD) 文件进行传输,该文件被怀疑是通过自定义 WordPress 网站传播的,属于驱动下载计划的一部分。
从服务器检索的第二阶段有效载荷是Donut ,一个 shellcode 生成框架,它作为部署名为Sliver的开源Cobalt Strike替代品的管道。
研究人员表示:“运营商还付出了巨大努力,获取专用基础设施并部署真实的 WordPress 网站来投递有效载荷。总的来说,这次活动感觉像是一支小团队的杰作。”
该公司表示:“这是一个多阶段木马,它使用 Dropbox 和 Google Docs 下载第二阶段的有效载荷并保持更新。它包含一个模糊的 VBA 宏,可以挂接到 Windows 中以监视正在运行的窗口和击键,并使用注册表项创建持久性。”
转自e安全,原文链接:https://mp.weixin.qq.com/s/VcX4C1TZ2vGijCMIWP-TbQ
封面来源于网络,如有侵权请联系删除