Istraživači cyber sigurnosti otkrili su kampanju napada koja cilja razne izraelske entitete s javno dostupnim okvirima kao što su Donut i Sliver.
Kampanja, za koju se vjeruje da je po svojoj prirodi visoko ciljana, “koristi infrastrukturu specifičnu za cilj i prilagođene WordPress web stranice kao mehanizam isporuke korisnog opterećenja, ali utiče na različite entitete u nepovezanim vertikalama i oslanja se na dobro poznati zlonamjerni softver otvorenog koda”, HarfangLab rečeno je u prošlosedmičnom izveštaju.
Francuska kompanija prati aktivnost pod imenom Supposed Grasshopper. To je referenca na server koji kontroliše napadač (“auth.economy-gov-il[.]com/SUPPOSED_GRASSHOPPER.bin”), na koji se povezuje program za preuzimanje u prvoj fazi.
Ovaj program za preuzimanje, napisan u Nimu, je rudimentaran i ima zadatak da preuzme zlonamjerni softver druge faze sa servera za postavljanje. Isporučuje se pomoću datoteke virtuelnog tvrdog diska (VHD) za koju se sumnja da se širi preko prilagođenih WordPress stranica kao dio šeme preuzimanja s diska.
Korisno opterećenje druge faze preuzeto sa servera je Donut, okvir za generisanje shellcode-a, koji služi kao provod za implementaciju Cobalt Strike alternative otvorenog koda nazvane Sliver.
“Operateri su takođe uložili neke značajne napore u nabavku namjenske infrastrukture i implementaciju realistične WordPress web stranice za isporuku korisnih podataka”, rekli su istraživači. “Sve u svemu, ova kampanja izgleda kao da bi realno mogla biti rad malog tima.”
Krajnji cilj kampanje trenutno je nepoznat, iako je HarfangLab teoretizirao da bi takođe mogao biti povezan s legitimnom operacijom testiranja penetracije, mogućnošću koja postavlja vlastiti niz pitanja u vezi transparentnosti i potrebe za lažnim predstavljanjem izraelskih vladinih agencija.
Otkrivanje dolazi nakon što je tim za istraživanje prijetnji SonicWall Capture Labs detaljno opisao lanac zaraze koji koristi Excel tabele zarobljene kao početnu tačku za izbacivanje trojanca poznatog pod nazivom Orcinius.
“Ovo je višestepeni trojanac koji koristi Dropbox i Google dokumente za preuzimanje korisnih podataka u drugoj fazi i ažuriranje”, kažu iz kompanije. “Sadrži zamagljeni VBA makro koji se povezuje sa Windowsom kako bi nadgledao pokrenute prozore i pritiskanja tastera i stvara upornost pomoću ključeva registratora.”
Izvor:The Hacker News