Donut ve Şerit Çerçeveleri Kullanan Siber Saldırıların Hedefi İsrailli Kuruluşlar
Siber güvenlik araştırmacıları, Donut ve Sliver gibi halka açık çerçevelere sahip çeşitli İsrail kuruluşlarını hedef alan bir saldırı kampanyası keşfetti.
Doğası gereği yüksek oranda hedefli olduğuna inanılan kampanya, "hedefe özel altyapıdan ve özel WordPress web sitelerinden bir yük dağıtım mekanizması olarak yararlanıyor, ancak ilgisiz dikeylerdeki çeşitli varlıkları etkiliyor ve iyi bilinen açık kaynaklı kötü amaçlı yazılımlara güveniyor" dedi.
Fransız şirket, Sözde Çekirge adı altında faaliyeti takip ediyor. Saldırgan tarafından kontrol edilen bir sunucuya ("auth.economy-gov-il[.] com/SUPPOSED_GRASSHOPPER.bin"), birinci aşama indiricinin bağlandığı.
Nim'de yazılmış bu indirici ilkeldir ve ikinci aşama kötü amaçlı yazılımı hazırlama sunucusundan indirmekle görevlendirilir. Drive-by indirme şemasının bir parçası olarak özel WordPress siteleri aracılığıyla yayıldığından şüphelenilen bir sanal sabit disk (VHD) dosyası aracılığıyla teslim edilir.
Sunucudan alınan ikinci aşama yükü, Sliver adlı açık kaynaklı bir Cobalt Strike alternatifini dağıtmak için bir kanal görevi gören bir kabuk kodu oluşturma çerçevesi olan Donut'tur.
Araştırmacılar, "Operatörler ayrıca, özel altyapı elde etmek ve yükleri teslim etmek için gerçekçi bir WordPress web sitesi dağıtmak için bazı önemli çabalar sarf ediyor" dedi. "Genel olarak, bu kampanya gerçekçi bir şekilde küçük bir ekibin işi olabilirmiş gibi geliyor."
Tehlikenin nihai hedefi şu anda bilinmiyor, ancak HarfangLab, şeffaflığı ve İsrail devlet kurumlarını taklit etme ihtiyacını çevreleyen kendi sorularını gündeme getiren bir olasılık olan meşru bir sızma testi operasyonu ile de ilişkilendirilebileceğini teorileştirdi.
Açıklama, SonicWall Capture Labs tehdit araştırma ekibinin, Orcinius olarak bilinen bir truva atını bırakmak için başlangıç noktası olarak bubi tuzaklı Excel elektronik tablolarını kullanan bir enfeksiyon zincirini detaylandırmasıyla geldi.
Şirket, "Bu, ikinci aşama yükleri indirmek ve güncel kalmak için Dropbox ve Google Dokümanlar'ı kullanan çok aşamalı bir truva atıdır" dedi. "Çalışan pencereleri ve tuş vuruşlarını izlemek için Windows'a bağlanan ve kayıt defteri anahtarlarını kullanarak kalıcılık oluşturan gizlenmiş bir VBA makrosu içerir."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
0 Yorum
Yorum Gönder
Benzer Haberler
Yeni SideWinder Siber Saldırıları Birden Fazla Ülkedeki Denizcilik Tesislerini Hedef Alıyor
Kuzey Koreli Hackerlar Siber Casusluktan Fidye Yazılımı Saldırılarına Geçiyor
Çinli Hackerlar MgBot ve MACMA Kötü Amaçlı Yazılımlarıyla Tayvan ve ABD STK'sını Hedef Aldı
Kritik Altyapıyı Hedefleyen Yeni ICS Kötü Amaçlı Yazılım 'FrostyGoop'
Küresel Polis Operasyonu, Cobalt Strike ile Bağlantılı 600 Siber Suç Sunucusunu Kapattı
Donut ve Şerit Çerçeveleri Kullanan Siber Saldırıların Hedefi İsrailli Kuruluşlar
Hintli Yazılım Firmasının Ürünleri Veri Çalan Kötü Amaçlı Yazılım Yaymak İçin Hacklendi
Kimsuky, Hassas Verileri Çalmak için TRANSLATEXT Chrome Uzantısını Kullanıyor