ΑρχικήsecurityΟι χάκερ χρησιμοποιούν το Sliver toolkit ως εναλλακτική για το Cobalt Strike

Οι χάκερ χρησιμοποιούν το Sliver toolkit ως εναλλακτική για το Cobalt Strike

Οι απειλητικοί φορείς απορρίπτουν τη σουίτα penetration testing Cobalt Strike υπέρ παρόμοιων πλαισίων που είναι λιγότερο γνωστές. Μετά το Brute Ratel, το κιτ ανοιχτού κώδικα, πολλαπλών πλατφορμών που ονομάζεται Sliver γίνεται μια ελκυστική εναλλακτική λύση.

Δείτε επίσης: Google, Apple, Meta, Twitter: Ποια συλλέγει τα λιγότερα user data;

Sliver

Ωστόσο, η κακόβουλη δραστηριότητα χρησιμοποιώντας το Sliver μπορεί να ανιχνευθεί χρησιμοποιώντας hunting queries που προέρχονται από την ανάλυση της εργαλειοθήκης, του τρόπου λειτουργίας της και των στοιχείων της.

Μακριά από το Cobalt Strike

Τα τελευταία χρόνια, το Cobalt Strike έχει αυξηθεί σε δημοτικότητα ως εργαλείο επίθεσης για διάφορους απειλητικούς παράγοντες, συμπεριλαμβανομένων των λειτουργιών ransomware.

Εφόσον οι υπερασπιστές έχουν μάθει να εντοπίζουν και να σταματούν επιθέσεις βασιζόμενοι σε αυτό το εργαλείο, οι χάκερ δοκιμάζουν άλλες επιλογές που μπορούν να αποφύγουν το Endpoint Detection and Response (EDR) και τις λύσεις antivirus.

Αντιμετωπίζοντας ισχυρότερες άμυνες ενάντια στο Cobalt Strike, οι απειλητικοί φορείς έχουν βρει εναλλακτικές λύσεις. Η Palo Alto Networks παρατήρησε ότι χρησιμοποιούσαν το Brute Ratel, ένα εργαλείο προσομοίωσης επίθεσης που έχει σχεδιαστεί για να ξεφεύγει από προϊόντα ασφαλείας.

Δείτε επίσης: Η RansomEXX ισχυρίζεται ότι επιτέθηκε στην Bombardier Recreational Products

Μια αναφορά από τη Microsoft σημειώνει ότι οι χάκερ, από ομάδες που χρηματοδοτούνται από το κράτος μέχρι συμμορίες εγκλήματος στον κυβερνοχώρο, χρησιμοποιούν όλο και περισσότερο σε επιθέσεις το εργαλείο security testing Sliver που αναπτύχθηκε από ερευνητές της εταιρείας κυβερνοασφάλειας BishopFox.

Μία ομάδα που υιοθέτησε το Sliver παρακολουθείται ως DEV-0237 από τη Microsoft. Γνωστή και ως FIN12, η ​​συμμορία έχει συνδεθεί με διάφορους χειριστές ransomware.

Η συμμορία έχει διανείμει ransomware payloads από διάφορους χειριστές ransomware στο παρελθόν (Ryuk, Conti, Hive, Conti και BlackCat) μέσω διαφόρων κακόβουλων προγραμμάτων, συμπεριλαμβανομένων των BazarLoader και TrickBot.

Σύμφωνα με μια έκθεση από το Κυβερνητικό Αρχηγείο Επικοινωνιών του Ηνωμένου Βασιλείου (GCHQ), οι κρατικοί φορείς στη Ρωσία, και συγκεκριμένα η ομάδα APT29 (γνωστή και ως Cozy Bear, The Dukes, Grizzly Steppe) έχουν χρησιμοποιήσει το Sliver για να διατηρήσουν την πρόσβαση σε παραβιασμένα περιβάλλοντα.

Δείτε επίσης: Δομινικανή Δημοκρατία: Το Quantum ransomware διαταράσσει κυβερνητική υπηρεσία

Η Microsoft σημειώνει ότι το Sliver έχει αναπτυχθεί σε πιο πρόσφατες επιθέσεις χρησιμοποιώντας το malware loader Bumblebee (Coldtrain), το οποίο σχετίζεται με το “Conti syndicate” ως αντικατάσταση του BazarLoader.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS