Pesquisadores de cibersegurança descobriram uma campanha de ataque que tem como alvo várias entidades israelenses, utilizando frameworks publicamente disponíveis como Donut e Sliver.
A campanha, que se acredita ser altamente direcionada, "aproveita infraestrutura específica do alvo e websites personalizados em WordPress como um mecanismo de entrega de payload, mas afeta uma variedade de entidades em segmentos não relacionados e depende de malware de código aberto bem conhecido", disse a HarfangLab em um relatório na semana passada.
A empresa francesa está monitorando a atividade sob o nome Supposed Grasshopper.
É uma referência a um servidor controlado pelo atacante ("auth.economy-gov-il[.]com/SUPPOSED_GRASSHOPPER.bin"), ao qual um downloader de primeira fase se conecta.
Este downloader, escrito em Nim, é rudimentar e tem a tarefa de baixar o malware de segunda fase do servidor de staging.
Ele é entregue por meio de um arquivo de disco rígido virtual (VHD), suspeito de ser propagado através de sites personalizados em WordPress como parte de um esquema de download por drive-by.
O payload de segunda fase recuperado do servidor é Donut, um framework de geração de shellcode, que serve como um meio para o deploy de uma alternativa open-source ao Cobalt Strike chamada Sliver.
"Os operadores também fizeram esforços notáveis na aquisição de infraestrutura dedicada e na implementação de um site WordPress realista para entregar payloads," disseram os pesquisadores.
No geral, esta campanha parece realisticamente ser o trabalho de uma pequena equipe.
O objetivo final da campanha é atualmente desconhecido, embora a HarfangLab teorize que também possa estar associada a uma operação de teste de penetração legítima, uma possibilidade que levanta seu próprio conjunto de questões em torno da transparência e da necessidade de se passar por agências do governo israelense.
A divulgação ocorre ao mesmo tempo que a equipe de pesquisa de ameaças SonicWall Capture Labs detalhou uma cadeia de infecção que emprega planilhas do Excel armadilhadas como ponto de partida para soltar um trojan conhecido como Orcinius.
"Este é um trojan de múltiplos estágios que utiliza o Dropbox e o Google Docs para baixar payloads de segunda fase e se manter atualizado", disse a empresa.
Ele contém uma macro VBA ofuscada que se integra ao Windows para monitorar janelas em execução e keystrokes e cria persistência usando chaves de registro.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...