Các nhóm tội phạm mạng ngày càng áp dụng Khung lệnh-và-kiểm soát mảnh

Khung lệnh và điều khiển Sliver

Các tác nhân đe dọa quốc gia-nhà nước đang ngày càng áp dụng và tích hợp khuôn khổ kiểm soát và chỉ huy Sliver (C2) trong các chiến dịch xâm nhập của họ để thay thế cho .

Các chuyên gia bảo mật của cho biết: “Với sự phổ biến của Cobalt Strike như một công cụ tấn công, khả năng phòng thủ chống lại nó cũng đã được cải thiện theo thời gian. “Sliver do đó đưa ra một giải pháp thay thế hấp dẫn cho các diễn viên đang tìm kiếm một bộ công cụ ít được biết đến hơn với rào cản gia nhập thấp.”

Sliver, được công bố lần đầu tiên vào cuối năm 2019 bởi công ty an ninh mạng BishopFox, là một nền tảng mã nguồn mở C2 dựa trên Go hỗ trợ các tiện ích mở rộng do người dùng phát triển, tạo mô cấy tùy chỉnh và các tùy chọn chỉ huy khác.

Microsoft cho biết: “Một khung công tác C2 thường bao gồm một máy chủ chấp nhận các kết nối từ các thiết bị cấy ghép trên một hệ thống bị xâm phạm và một ứng dụng khách cho phép các nhà khai thác C2 tương tác với các thiết bị cấy ghép và khởi chạy các lệnh độc hại.

Bên cạnh việc tạo điều kiện thuận lợi cho việc truy cập lâu dài vào các máy chủ bị nhiễm, bộ công cụ đa nền tảng còn được biết là cung cấp các phần mềm gián đoạn, là các trọng tải chủ yếu nhằm truy xuất và khởi chạy một cửa hậu đầy đủ tính năng trên các hệ thống bị xâm phạm.

Xem tiếp:   Tin tặc nhắm mục tiêu vào công ty phần mềm Ukraina bằng cách sử dụng GoMet Backdoor

Bao gồm trong số người dùng của nó là một chi nhánh -as-service (RaaS) sung mãn được theo dõi là DEV-0237 (hay còn gọi là FIN12) trước đây đã tận dụng quyền truy cập ban đầu có được từ các nhóm khác (còn gọi là nhà môi giới truy cập ban đầu) để triển khai các chủng ransomware khác nhau như Ryuk, Conti, Hive và BlackCat.

Khung lệnh và điều khiển Sliver

Microsoft cho biết gần đây họ đã quan sát thấy các tác nhân tội phạm mạng thả Sliver và các phần mềm hậu khai thác khác bằng cách nhúng chúng vào bộ tải Bumblebee (hay còn gọi là COLDTRAIN), xuất hiện vào đầu năm nay như một người kế nhiệm cho BazarLoader và chia sẻ liên kết với hệ thống cung cấp Conti lớn hơn.

Việc chuyển đổi từ Cobalt Strike sang một công cụ có sẵn miễn phí được coi là một nỗ lực của một phía đối thủ nhằm giảm cơ hội tiếp xúc của họ trong môi trường bị xâm phạm và làm cho phân bổ trở nên thách thức, giúp chiến dịch của họ tăng mức độ ẩn và độ bền bỉ.

Sliver không phải là khuôn khổ duy nhất thu hút sự chú ý của các tác nhân ác ý. Trong những tháng gần đây, các chiến dịch do một nhóm bị nghi ngờ do nhà nước Nga tài trợ đã liên quan đến một phần mềm mô phỏng tấn công đối thủ hợp pháp khác có tên Brute Ratel.

Xem tiếp:   Tin tặc LAPSUS $ tuyên bố đã xâm phạm Microsoft và công ty xác thực Okta

“Sliver và nhiều khuôn khổ C2 khác là một ví dụ khác về cách các tác nhân đe dọa liên tục cố gắng trốn tránh các phát hiện bảo mật tự động”, Microsoft cho biết.

.

Related Posts

Check Also

Ứng dụng phần thưởng ngân hàng ở Ấn Độ giả mạo Nhắm mục tiêu người dùng Android bằng phần mềm độc hại ăn cắp thông tin

Một chiến dịch lừa đảo dựa trên SMS đang nhắm mục tiêu đến khách hàng …