Donut ve Şerit Çerçeveleri Kullanan Siber Saldırıların Hedefi İsrailli Kuruluşlar
Siber güvenlik araştırmacıları, Donut ve Sliver gibi halka açık çerçevelere sahip çeşitli İsrail kuruluşlarını hedef alan bir saldırı kampanyası keşfetti.
Doğası gereği yüksek oranda hedefli olduğuna inanılan kampanya, "hedefe özel altyapıdan ve özel WordPress web sitelerinden bir yük dağıtım mekanizması olarak yararlanıyor, ancak ilgisiz dikeylerdeki çeşitli varlıkları etkiliyor ve iyi bilinen açık kaynaklı kötü amaçlı yazılımlara güveniyor" dedi.
Fransız şirket, Sözde Çekirge adı altında faaliyeti takip ediyor. Saldırgan tarafından kontrol edilen bir sunucuya ("auth.economy-gov-il[.] com/SUPPOSED_GRASSHOPPER.bin"), birinci aşama indiricinin bağlandığı.
Nim'de yazılmış bu indirici ilkeldir ve ikinci aşama kötü amaçlı yazılımı hazırlama sunucusundan indirmekle görevlendirilir. Drive-by indirme şemasının bir parçası olarak özel WordPress siteleri aracılığıyla yayıldığından şüphelenilen bir sanal sabit disk (VHD) dosyası aracılığıyla teslim edilir.
Sunucudan alınan ikinci aşama yükü, Sliver adlı açık kaynaklı bir Cobalt Strike alternatifini dağıtmak için bir kanal görevi gören bir kabuk kodu oluşturma çerçevesi olan Donut'tur.
Araştırmacılar, "Operatörler ayrıca, özel altyapı elde etmek ve yükleri teslim etmek için gerçekçi bir WordPress web sitesi dağıtmak için bazı önemli çabalar sarf ediyor" dedi. "Genel olarak, bu kampanya gerçekçi bir şekilde küçük bir ekibin işi olabilirmiş gibi geliyor."
Tehlikenin nihai hedefi şu anda bilinmiyor, ancak HarfangLab, şeffaflığı ve İsrail devlet kurumlarını taklit etme ihtiyacını çevreleyen kendi sorularını gündeme getiren bir olasılık olan meşru bir sızma testi operasyonu ile de ilişkilendirilebileceğini teorileştirdi.
Açıklama, SonicWall Capture Labs tehdit araştırma ekibinin, Orcinius olarak bilinen bir truva atını bırakmak için başlangıç noktası olarak bubi tuzaklı Excel elektronik tablolarını kullanan bir enfeksiyon zincirini detaylandırmasıyla geldi.
Şirket, "Bu, ikinci aşama yükleri indirmek ve güncel kalmak için Dropbox ve Google Dokümanlar'ı kullanan çok aşamalı bir truva atıdır" dedi. "Çalışan pencereleri ve tuş vuruşlarını izlemek için Windows'a bağlanan ve kayıt defteri anahtarlarını kullanarak kalıcılık oluşturan gizlenmiş bir VBA makrosu içerir."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı