Sliver Implant
A Cyble Research and Intelligence Labs (CRIL) nemrégiben felfedezett egy kifinomult támadási kampányt, amely németországi szervezeteket céloz meg a Sliver implantátum segítségével. A támadók DLL oldaltöltési és proxy technikákat alkalmaznak a rosszindulatú kód végrehajtására és a hálózati forgalom álcázására.
A támadók adathalász e-maileket küldenek, amelyek rosszindulatú mellékleteket vagy hivatkozásokat tartalmaznak. A mellékletek megnyitása után egy legitim alkalmazás és egy rosszindulatú DLL fájl kerül ugyanabba a könyvtárba. A legitim alkalmazás indításakor betölti a rosszindulatú DLL-t, lehetővé téve a támadók számára a kártékony kód futtatását. A DLL oldaltöltés révén a támadók telepítik a Sliver implantátumot, amely egy nyílt forráskódú, Go nyelven írt Command and Control (C2) keretrendszer. Ez lehetővé teszi a távoli hozzáférést és vezérlést a fertőzött rendszerek felett. A támadók proxy szervereket használnak a kommunikáció álcázására és a felderítés elkerülésére, ezáltal nehezítve a rosszindulatú tevékenység észlelését.
Az elemzett kampány, amely elsősorban németországi szervezeteket céloz, több szempontból is figyelemre méltó, különösen az alkalmazott technikák és az APT29-hez köthető hasonlóságok miatt. Bár nincs konkrét bizonyíték az APT29 bevonására, a kampányban alkalmazott módszerek és eszközök számos hasonlóságot mutatnak ezzel a csoporttal. Ez a kampány jól mutatja a fenyegető szereplők kifinomultságát, akik képesek új technikákat alkalmazni a hagyományos biztonsági rendszerek megkerülésére. A támadások komplexitása és többfázisú jellege kiemeli a védekezési stratégiák fejlesztésének sürgősségét.
A CRIL megosztotta az azonosításhoz szükséges mutatókat.