Siber güvenlik araştırmacıları, Donut ve Sliver gibi kamuya açık çerçeveleri kullanarak çeşitli İsrail kuruluşlarını hedef alan bir saldırı kampanyası keşfetti.
HarfangLab geçen hafta yayınladığı raporda, doğası gereği oldukça hedef odaklı olduğuna inanılan kampanyanın “hedef odaklı altyapı ve özel WordPress web sitelerini yük dağıtım mekanizması olarak kullandığını, ancak ilgisiz dikeylerdeki çeşitli kuruluşları etkilediğini ve iyi bilinen açık kaynaklı kötü amaçlı yazılımlara dayandığını” söyledi.
Fransız şirket, aktiviteyi Supposed Grasshopper adı altında izliyor. Bu, saldırgan tarafından kontrol edilen bir sunucuya (“auth.economy-gov-il”) bir göndermedir.[.]com/SUPPOSED_GRASSHOPPER.bin”), birinci aşama indiricisinin bağlandığı yerdir.
Nim’de yazılmış bu indirici ilkeldir ve ikinci aşama kötü amaçlı yazılımı sahneleme sunucusundan indirmekle görevlidir. Özel WordPress siteleri aracılığıyla bir drive-by indirme planının parçası olarak yayıldığı düşünülen sanal sabit disk (VHD) dosyası aracılığıyla iletilir.
Sunucudan alınan ikinci aşama yükü, Sliver adı verilen açık kaynaklı bir Cobalt Strike alternatifinin dağıtımı için bir kanal görevi gören bir kabuk kodu oluşturma çerçevesi olan Donut’tır.
Araştırmacılar, “Operatörler ayrıca özel altyapı edinme ve yükleri iletmek için gerçekçi bir WordPress web sitesi dağıtma konusunda dikkate değer çabalar sarf ettiler,” dedi. “Genel olarak, bu kampanyanın gerçekçi bir şekilde küçük bir ekibin işi olabileceği hissi uyandırıyor.”
Kampanyanın nihai hedefi henüz bilinmiyor ancak HarfangLab, bunun meşru bir penetrasyon testi operasyonuyla da ilişkilendirilebileceğini öne sürüyor. Bu ihtimal, şeffaflık ve İsrail hükümet kurumlarını taklit etme konusunda soru işaretleri yaratıyor.
Açıklama, SonicWall Capture Labs tehdit araştırma ekibinin, Orcinius adlı bir trojan virüsünü yaymak için başlangıç noktası olarak tuzaklı Excel tablolarını kullanan bir enfeksiyon zincirini ayrıntılarıyla açıklamasının ardından geldi.
Şirket, “Bu, ikinci aşama yüklerini indirmek ve güncel kalmak için Dropbox ve Google Docs kullanan çok aşamalı bir trojandır,” dedi. “Çalışan pencereleri ve tuş vuruşlarını izlemek ve kayıt defteri anahtarlarını kullanarak kalıcılık oluşturmak için Windows’a bağlanan gizlenmiş bir VBA makrosu içerir.”