Ερευνητές κυβερνοασφάλειας ανακάλυψαν νέες επιθέσεις που στοχεύουν διάφορες ισραηλινές οντότητες με δημόσια διαθέσιμα frameworks όπως το Donut και το Sliver.
Σύμφωνα με μια αναφορά της HarfangLab, αυτές οι επιθέσεις φαίνεται να είναι εξαιρετικά στοχευμένες, αξιοποιώντας συγκεκριμένες υποδομές και custom WordPress websites ως μηχανισμό παράδοσης κακόβουλου payload. Ωστόσο, επηρεάζουν μια ποικιλία οντοτήτων σε άσχετους κλάδους και βασίζονται σε γνωστό κακόβουλο λογισμικό ανοιχτού κώδικα.
Η HarfangLab παρακολουθεί τη δραστηριότητα με το όνομα “Supposed Grasshopper“. Είναι μια αναφορά σε έναν διακομιστή που ελέγχεται από τους εισβολείς (“auth.economy-gov-il[.]com/SUPPOSED_GRASSHOPPER.bin”), στον οποίο συνδέεται ένα πρόγραμμα λήψης πρώτου σταδίου.
Δείτε επίσης: Το νέο Unfurling Hemlock πλημμυρίζει τα συστήματα με malware
Αυτό το πρόγραμμα λήψης, γραμμένο σε Nim, χρησιμοποιείται για τη λήψη του κακόβουλου λογισμικού δεύτερου σταδίου από τον staging server. Παραδίδεται μέσω ενός virtual hard disk (VHD) file, το οποίο πιθανότατα διαδίδεται μέσω custom WordPress sites, ως μέρος ενός προγράμματος drive-by download.
Το payload δεύτερου σταδίου, που ανακτάται από τον διακομιστή, είναι το Donut, ένα shellcode generation framework, το οποίο χρησιμεύει ως αγωγός για την ανάπτυξη του Sliver, μιας εναλλακτικής λύσης Cobalt Strike.
Οι ερευνητές παρατήρησαν ότι οι επιτιθέμενοι προσπάθησαν, επίσης, να διεισδύσουν σε υποδομές και να αναπτύξουν ένα ρεαλιστικό WordPress website για την παράδοση payloads.
Ο τελικός στόχος της καμπάνιας με τα Donut και Sliver frameworks είναι προς το παρόν άγνωστος, αν και η HarfangLab είπε ότι θα μπορούσε να σχετίζεται με μια νόμιμη επιχείρηση penetration testing. Ωστόσο, αν ισχύει κάτι τέτοιο, τίθενται ερωτήματα σχετικά με τη διαφάνεια και την πλαστοπροσωπία ισραηλινών κυβερνητικών υπηρεσιών.
Δείτε επίσης: Χρήστες Mac εκτέθηκαν σε info-stealer malware μέσω Google Ads
Ποια μέτρα μπορούν να ληφθούν για την προστασία από αυτές τις επιθέσεις;
Η εκπαίδευση και η ευαισθητοποίηση του προσωπικού είναι κρίσιμης σημασίας. Οι εργαζόμενοι πρέπει να είναι ενήμεροι για τις τελευταίες τεχνικές που χρησιμοποιούν οι επιτιθέμενοι και να γνωρίζουν πώς να αναγνωρίζουν ύποπτες δραστηριότητες.
Η τακτική ενημέρωση και αναβάθμιση των συστημάτων και των λογισμικών ασφαλείας μπορεί, επίσης, να αποτρέψει πολλές επιθέσεις. Οι επιτιθέμενοι συχνά εκμεταλλεύονται γνωστά κενά ασφαλείας που έχουν διορθωθεί σε νεότερες εκδόσεις.
Η εφαρμογή πολυεπίπεδης ασφάλειας (defense in depth) μπορεί να προσφέρει πρόσθετη προστασία. Αυτό περιλαμβάνει τη χρήση firewall, antivirus, intrusion detection systems (IDS), και άλλων εργαλείων ασφαλείας που συνεργάζονται για την ανίχνευση και την αποτροπή επιθέσεων.
Δείτε επίσης: Γιατί το Temu θεωρείται “επικίνδυνο κακόβουλο λογισμικό (malware)”;
Η τακτική διεξαγωγή ελέγχων ασφαλείας και penetration testing μπορεί να βοηθήσει στον εντοπισμό αδυναμιών πριν αυτές χρησιμοποιούν από επιτιθέμενους. Οι οργανισμοί μπορούν να διορθώσουν τα προβλήματα που εντοπίζονται κατά τη διάρκεια αυτών των ελέγχων.
Η χρήση ισχυρών και μοναδικών κωδικών πρόσβασης για κάθε σύστημα και εφαρμογή είναι, επίσης, απαραίτητη. Επιπλέον, η εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) μπορεί να προσθέσει ένα επιπλέον επίπεδο ασφάλειας.
Τέλος, η συνεργασία με εξειδικευμένους συμβούλους ασφαλείας και η συμμετοχή σε κοινότητες ανταλλαγής πληροφοριών για την ασφάλεια στον κυβερνοχώρο μπορεί να προσφέρει πολύτιμες πληροφορίες (π.χ. για Donut και Sliver frameworks) και να βοηθήσει στην ανάπτυξη καλύτερων στρατηγικών άμυνας.
Πηγή: thehackernews.com
