以色列实体遭 Donut 和 Sliver 框架利用攻击

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

网络安全研究员发现了攻击活动，专门通过公开可用的框架如 Donut 和 Sliver 攻击以色列多种实体。

该攻击被指针对性很强。法国公司HarfangLab在上周发布的报告中提到，它“利用特定目标的基础设施和自定义 WordPress 作为 payload 交付机制，但影响不相关垂直行业的多种实体，并依赖于著名的开源恶意软件。”

该公司正在追踪同一名称 Supposed Grasshopper 名下的活动。Supposed Grasshopper 是指受攻击者控制服务器 ("auth.economy-gov-il[.]com/SUPPOSED_GRASSHOPPER.bin")，与第一阶段下载器连接。该下载器用 Nim 编写，属于初级级别，用于从服务器中下载第二阶段的恶意软件。它通过一个虚拟硬盘 (VHD) 文件的方式交付，而该文件疑似通过自定义的 WordPress 站点宣传，是路过式下载计划的一部分。

从该服务器检索的第二阶段的 payload 是 Donut，它是一款 shellcode 生成框架，是部署开源 Cobalt Strike 替代品 Sliver 的管道。研究人员提到，“操纵人员还投入大量精力受过专门的基础设施并部署实际的 WordPress 网站交付 payload。总体而言，该攻击像是小团队的手笔。”

该攻击活动的最终目标目前尚不得知，尽管 HarfangLab 公司表示从理论上来讲它可能与合法的渗透测试操作有关，而这又引发与透明度以及模拟以色列政府机构的质疑。此前不久，SonicWall Capture Labs 威胁研究团队详述了一起利用受陷 Excel 表单作为起始点来释放木马 Orcinius 的感染链事件。该公司表示，“这是一个多阶段木马，它利用Dropbox 和 Google Docs 下载第二阶段 payload 并持续更新。其中包括一个混淆的VBA宏，利用 Windows 监控运行的窗口和键击并使用注册密钥来创建可持久性。”

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

伊朗黑客组织声称攻陷以色列核设施网络

伊朗黑客利用恶意软件攻击以色列技术行业

以色列监控公司 QuaDream 利用零点击 exploit 攻击高风险 iPhone

Polonium 黑客组织利用7个后门变体监控以色列组织机构

美国国防承包商 L3Harris 拟收购以色列监控公司 NSO Group

原文链接

https://thehackernews.com/2024/07/israeli-entities-targeted-by.html

题图：Pexels License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~