I ricercatori di cybersecurity hanno recentemente segnalato la scoperta di un nuovo strumento di post-exploitation chiamato Splinter, sviluppato utilizzando il linguaggio di programmazione Rust. Questo strumento è stato individuato sui sistemi di diversi clienti da Unit 42 di Palo Alto Networks. Anche se Splinter non è sofisticato come altri strumenti di post-exploitation ben noti come Cobalt Strike, rappresenta comunque una potenziale minaccia se utilizzato in modo improprio.

Gli strumenti di penetration testing sono comunemente utilizzati durante le operazioni di red team per identificare potenziali vulnerabilità nelle reti aziendali. Tuttavia, questi strumenti possono essere sfruttati anche da attori malevoli per scopi illeciti. Finora, Unit 42 non ha rilevato attività di attori malevoli associate all'uso di Splinter, né è noto chi sia lo sviluppatore di questo strumento.

Gli artefatti scoperti rivelano che Splinter è di dimensioni eccezionalmente grandi, circa 7 MB, principalmente a causa della presenza di 61 crate di Rust al suo interno. Come altri framework di post-exploitation, Splinter include una configurazione che contiene informazioni sul server di comando e controllo (C2), necessarie per stabilire una connessione con il server tramite HTTPS.

Splinter è controllato tramite un modello basato su task, comune tra i framework di post-exploitation. Ottiene i suoi compiti dal server C2 definito dall'attaccante. Tra le funzionalità dello strumento vi sono l'esecuzione di comandi Windows, l'esecuzione di moduli tramite iniezione di processi remoti, il caricamento e scaricamento di file, la raccolta di informazioni sugli account dei servizi cloud e l'autoeliminazione dal sistema.

L'importanza di mantenersi aggiornati sulle capacità di prevenzione e rilevamento è sottolineata dalla varietà crescente di strumenti come Splinter. I criminali informatici sono sempre alla ricerca di tecniche efficaci per compromettere le organizzazioni.

Metodi di attacco innovativi

Parallelamente, Deep Instinct ha dettagliato due metodi di attacco che potrebbero essere sfruttati per ottenere iniezioni di codice furtive e escalation di privilegi, utilizzando un'interfaccia RPC in Microsoft Office e uno shim malevolo, rispettivamente. Questi metodi mostrano come i criminali riescano a bypassare le soluzioni di rilevamento EDR (Endpoint Detection and Response) utilizzando tecniche innovative.

Nel luglio 2024, Check Point ha inoltre descritto una nuova tecnica di iniezione di processi chiamata Thread Name-Calling. Questa tecnica permette di impiantare shellcode in un processo in esecuzione sfruttando l'API per le descrizioni dei thread, bypassando i prodotti di protezione degli endpoint.

Con l'aggiunta di nuove API a Windows, emergono nuove idee per tecniche di iniezione. Thread Name-Calling utilizza alcune delle API relativamente nuove, ma non può evitare di incorporare componenti più vecchi e ben noti come le iniezioni APC, che devono sempre essere considerate una potenziale minaccia. Anche la manipolazione dei diritti di accesso all'interno di un processo remoto è un'attività sospetta.