IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

نهاد‌های اسرائیلی تحت حملات سایبری با فریمورک‌های Donut و Sliver

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir israeli entities targeted by donut and silver frameworks 1
محققان امنیت سایبری کمپین حمله‌ای را کشف کرده‌اند که نهاد‌های مختلف اسرائیل را با فریمورک‌های در دسترس عمومی مانند Donut و Sliver هدف قرار می‌دهد.

مجموعه HarfangLab در گزارش خود گفت: "این کمپین که به باور آنها ماهیت آن بسیار هدفمند است، از زیرساخت‌های خاص هدف و وب‌سایت‌های وردپرس سفارشی به‌عنوان مکانیزم تحویل payload استفاده می‌کند، اما بر نهاد‌های مختلف در سراسر ساختار‌هایی که به هم نا‌مرتبط هستند تاثیر می‌گذارد و به یک بدافزار متن‌باز معروف متکی است".

شرکت فرانسوی این فعالیت را تحت نام Supposed Grasshopper دنبال می‌کند. این ارجاعی به سروری است که توسط مهاجم کنترل می‌شود ("auth.economy-gov-il[.]com/SUPPOSED_GRASSHOPPER.bin")، که دانلود کننده مرحله اول به آن متصل می‌شود.

این دانلودر که به زبان Nim نوشته شده، ابتدایی است و وظیفه دانلود بدافزار مرحله دوم را از سرور مرحله‌بندی دارد. این فایل با استفاده از یک فایل هارد دیسک مجازی (VHD) ارائه می‌شود که گمان می‌رود از طریق سایت‌های وردپرس سفارشی به‌عنوان بخشی از طرح دانلود درایوبای منتشر شود.

سپس Payload مرحله دوم بازیابی شده از سرور Donut انجام می‌شود که یک فریمورک تولید shellcode است و به‌عنوان مجرایی برای استقرار یک جایگزین Cobalt Strike متن‌باز به نام Sliver عمل می‌کند.

محققان می‌گویند: "اپراتور‌ها همچنین تلاش‌های قابل‌توجهی در دستیابی به زیرساخت‌های اختصاصی و استقرار یک وب‌سایت واقعی وردپرس برای ارائه payload‌ها انجام داده‌اند. به‌طور‌کلی، این کمپین به نظر می‌رسد که می‌تواند کار یک تیم کوچک باشد".
takian.ir israeli entities targeted by donut and silver frameworks 2
هدف نهایی این کمپین در حال حاضر ناشناخته است، اگرچه HarfangLab این نظریه را مطرح کرد که می‌تواند با یک عملیات آزمایش نفوذ قانونی مرتبط باشد. این نکته، سوالاتی را در مورد شفافیت و نیاز به جعل هویت سازمان‌های دولتی اسرائیل ایجاد می‌کند.

این افشاگری در حالی صورت می‌گیرد که تیم تحقیقاتی تهدید SonicWall Capture Labs یک زنجیره آلودگی را افشا کرده است که از صفحات اکسل به دام انفجاری به‌عنوان نقطه شروع برای استقرار یک تروجان معروف به Orcinius استفاده می‌کند.

این شرکت گفت: "این یک تروجان چند مرحله‌ای است که از Dropbox و Google Docs برای دانلود payload‌های مرحله دوم و به روز ماندن استفاده می‌کند. این مدارد شامل یک ماکرو VBA مبهم است که برای نظارت بر ویندوز‌های در حال اجرا و کلید‌های ورودی به ویندوز متصل می‌شود و با استفاده از کلید‌های رجیستری برای خود پایداری ایجاد می‌کند".

برچسب ها: Orcinius, Supposed Grasshopper, Donut, Nim, Sliver, VHD, فریم‌ورک‌, Framework, Cobalt Strike, Payload, Open Source, Trojan, وردپرس, WordPress, cybersecurity, israel, malware, اسرائیل, جاسوسی سایبری, بدافزار, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ ایمیل