.png)
Donut ve Şerit Çerçeveleri Kullanan Siber Saldırıların Hedefi İsrailli Kuruluşlar
Siber güvenlik araştırmacıları, Donut ve Sliver gibi halka açık çerçevelere sahip çeşitli İsrail kuruluşlarını hedef alan bir saldırı kampanyası keşfetti.
Doğası gereği yüksek oranda hedefli olduğuna inanılan kampanya, "hedefe özel altyapıdan ve özel WordPress web sitelerinden bir yük dağıtım mekanizması olarak yararlanıyor, ancak ilgisiz dikeylerdeki çeşitli varlıkları etkiliyor ve iyi bilinen açık kaynaklı kötü amaçlı yazılımlara güveniyor" dedi.
Fransız şirket, Sözde Çekirge adı altında faaliyeti takip ediyor. Saldırgan tarafından kontrol edilen bir sunucuya ("auth.economy-gov-il[.] com/SUPPOSED_GRASSHOPPER.bin"), birinci aşama indiricinin bağlandığı.
Nim'de yazılmış bu indirici ilkeldir ve ikinci aşama kötü amaçlı yazılımı hazırlama sunucusundan indirmekle görevlendirilir. Drive-by indirme şemasının bir parçası olarak özel WordPress siteleri aracılığıyla yayıldığından şüphelenilen bir sanal sabit disk (VHD) dosyası aracılığıyla teslim edilir.
Sunucudan alınan ikinci aşama yükü, Sliver adlı açık kaynaklı bir Cobalt Strike alternatifini dağıtmak için bir kanal görevi gören bir kabuk kodu oluşturma çerçevesi olan Donut'tur.
Araştırmacılar, "Operatörler ayrıca, özel altyapı elde etmek ve yükleri teslim etmek için gerçekçi bir WordPress web sitesi dağıtmak için bazı önemli çabalar sarf ediyor" dedi. "Genel olarak, bu kampanya gerçekçi bir şekilde küçük bir ekibin işi olabilirmiş gibi geliyor."
Tehlikenin nihai hedefi şu anda bilinmiyor, ancak HarfangLab, şeffaflığı ve İsrail devlet kurumlarını taklit etme ihtiyacını çevreleyen kendi sorularını gündeme getiren bir olasılık olan meşru bir sızma testi operasyonu ile de ilişkilendirilebileceğini teorileştirdi.
Açıklama, SonicWall Capture Labs tehdit araştırma ekibinin, Orcinius olarak bilinen bir truva atını bırakmak için başlangıç noktası olarak bubi tuzaklı Excel elektronik tablolarını kullanan bir enfeksiyon zincirini detaylandırmasıyla geldi.
Şirket, "Bu, ikinci aşama yükleri indirmek ve güncel kalmak için Dropbox ve Google Dokümanlar'ı kullanan çok aşamalı bir truva atıdır" dedi. "Çalışan pencereleri ve tuş vuruşlarını izlemek için Windows'a bağlanan ve kayıt defteri anahtarlarını kullanarak kalıcılık oluşturan gizlenmiş bir VBA makrosu içerir."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Microsoft, zararlı içerik oluşturmak için Azure AI'den yararlanan bilgisayar korsanlığı grubuna dava açtı
RedDelta, Casusluk Kampanyalarında Moğolistan ve Tayvan'ı Hedef Almak için PlugX Kötü Amaçlı Yazılım Dağıtıyor
MirrorFace, Japonya'ya Yönelik Çok Yıllı Siber Saldırılarda ANEL ve NOOPDOOR'dan Yararlanıyor
Yeni EAGERBEE Varyantı, Gelişmiş Arka Kapı Yeteneklerine Sahip İSS'leri ve Hükümetleri Hedefliyor
CISA: Hazine Siber Saldırısından Daha Geniş Federal Etki Yok, Soruşturma Devam Ediyor
FireScam Android Kötü Amaçlı Yazılımı, Verileri Çalmak ve Cihazları Kontrol Etmek İçin Telegram Premium Gibi Görünüyor
Düzinelerce Chrome Uzantısı Hacklendi ve Milyonlarca Kullanıcıyı Veri Hırsızlığına Maruz Bıraktı
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı