Izraeli szervezeteket támadnak publikus keretrendszerek segítségével

A HarfangLab kiberbiztonsági kutatói egy rendkívül célzott támadási kampányt tártak fel, amelyet különböző izraeli szervezetek ellen követtek el, olyan nyilvánosan elérhető keretrendszereket használva, mint a Donut és a Sliver. A kampány során egyedi WordPress-weboldalakat és célzott infrastruktúrákat használnak ki a hasznos teher célba juttatásához, és eközben számos, egymástól független vertikális szervezetet érintenek. A HarfangLab a tevékenységet Supposed Grasshopper néven azonosítva azt állítja, hogy a kezdeti fázis letöltője rosszindulatúan csatlakozik egy támadó által ellenőrzött szerverhez, majd a második fázisú kártevőt a staging szerverről szerzi be, valószínűleg egy testreszabott WordPress webhelyeken keresztül végrehajtott drive-by letöltési sémán keresztül.

A második fázisú hasznos teher, amelyet a szerverről szereznek be, a Donut, egy olyan keretrendszer, amely shellcode-ot generál, és a Sliver, a Cobalt Strike nyílt forráskódú változatának telepítéséhez szolgál útvonalként. Annak ellenére, hogy a kampány végső célja továbbra is tisztázatlan, a HarfangLab feltételezi, hogy az egy legitim behatolás-tesztelési művelethez is kapcsolódhat. Ez a lehetséges kapcsolat további aggályokat vet fel az átláthatóság és az izraeli kormányzati szervek megszemélyesítésével kapcsolatban. Ezzel párhuzamosan a SonicWall Capture Labs fenyegetéskutató csoportja egy olyan fertőzési láncot hozott nyilvánosságra, amelyben Excel táblázatkezelőket csapdáznak, hogy az Orcinius nevű trójai leejtését kezdeményezzék. Ez a többlépcsős trójai a Dropbox és a Google Docs segítségével tölti le a második lépcső hasznos terheléseit, frissítve marad, és titokban figyeli a Windows műveleteit és billentyűleütéseit.

(forrás)