Recentemente, i ricercatori di sicurezza informatica hanno scoperto una campagna di attacchi mirati contro varie entità israeliane utilizzando framework pubblicamente disponibili come Donut e Sliver. Questa campagna, ritenuta altamente mirata, sfrutta infrastrutture specifiche per il target e siti web WordPress personalizzati come meccanismo di distribuzione dei payload. Nonostante l'attacco colpisca diverse entità in settori non correlati, si basa su malware open-source ben noti.

Supposed Grasshopper

La società francese HarfangLab, che sta monitorando questa attività sotto il nome di "Supposed Grasshopper", ha riportato che un downloader di prima fase, scritto in Nim, si connette a un server controllato dagli attaccanti per scaricare il malware di seconda fase. Questo downloader è rudimentale e il suo compito principale è scaricare il secondo stadio del malware dal server di staging. Il payload di seconda fase viene consegnato tramite un file VHD (Virtual Hard Disk), che si sospetta venga propagato attraverso siti WordPress personalizzati come parte di uno schema di download drive-by.

Framework Donut e Sliver

Il payload di seconda fase, ottenuto dal server, è Donut, un framework di generazione di shellcode, che serve come condotto per distribuire un'alternativa open-source a Cobalt Strike chiamata Sliver. Secondo i ricercatori, gli operatori dell'attacco hanno messo notevoli sforzi nell'acquisire infrastrutture dedicate e nel creare un sito web WordPress realistico per distribuire i payload. Questo suggerisce che la campagna potrebbe essere opera di un piccolo team.

Obiettivo Finale Sconosciuto

L'obiettivo finale della campagna è attualmente sconosciuto, anche se HarfangLab ha ipotizzato che potrebbe essere associato a un'operazione legittima di penetration testing. Questa possibilità solleva domande sulla trasparenza e sulla necessità di impersonare agenzie governative israeliane.

Catena di Infezione di SonicWall Capture Labs

Questa scoperta arriva mentre il team di ricerca sulle minacce di SonicWall Capture Labs ha dettagliato una catena di infezione che utilizza fogli di calcolo Excel trappolati come punto di partenza per distribuire un trojan noto come Orcinius. Questo trojan multi-stadio utilizza Dropbox e Google Docs per scaricare i payload di seconda fase e rimanere aggiornato. Contiene una macro VBA offuscata che si aggancia a Windows per monitorare le finestre in esecuzione e i tasti premuti, creando persistenza utilizzando chiavi di registro.

Tweet