Aggiornamenti recenti Marzo 28th, 2024 9:00 AM
Ago 29, 2022 Redazione news Malware, News, RSS 0
Microsoft ha osservato che il framework di comando e controllo (C2) Sliver viene ora adottato e integrato in campagne di intrusione da hacker legati a Stati nazione e gruppi di criminalità informatica che si dedicano al ransomware e alle estorsioni, per eludere il rilevamento.
I ricercatori riferiscono di aver visto questi attori utilizzare Sliver con, o in sostituzione di, Cobalt Strike. Data la popolarità di Cobalt Strike come strumento di attacco, anche le difese contro di esso sono migliorate nel tempo. Sliver rappresenta quindi un’alternativa interessante per i cyber criminali che cercano un set di strumenti meno conosciuto con una bassa barriera d’ingresso.
Reso pubblico per la prima volta alla fine del 2019, Sliver è un framework open source. Sviluppato da BishopFox, è stato creato per fornire ai professionisti della sicurezza che fanno test di penetrazione un meccanismo per imitare le azioni dei pirati nei loro ambienti. Tuttavia, analogamente a quanto accade con Cobalt Strike, le sue caratteristiche lo rendono anche uno strumento appetibile per i pirati stessi.
Sliver è disponibile su GitHub e include molte caratteristiche tipiche dei framework C2, come il supporto per più operatori simultanei, più tipi di listener, estensioni sviluppate dall’utente e generazione di payload.
Poiché Sliver è scritto nel linguaggio di programmazione Go (GoLang), i suoi impianti sono compatibili con più sistemi operativi, tra cui Windows, macOS e Linux. Per impostazione predefinita, gli operatori possono generare impianti in diversi formati, tra cui Shellcode, eseguibili, librerie condivise/DLL e servizi.
Sliver supporta anche gli stager, payload più piccoli con poche funzionalità incorporate, destinati principalmente a recuperare e lanciare un impianto completo. Gli stager sono utilizzati da molti framework C2 per ridurre al minimo il codice malevolo incluso in un payload iniziale (per esempio, in un’e-mail di phishing). Questo può rendere più difficile il rilevamento basato sui file.
Da dicembre 2020, Microsoft ha osservato che molti cyber criminali hanno inserito Sliver nel loro arsenale. Tra i suoi utilizzatori c’è il prolifico gruppo di Ransomware-as-a-Service (RaaS) DEV-0237. Più recentemente, vari criminali hanno sfruttato Sliver e vari strumenti post-compromissione utilizzando il malware Bumblebee (noto anche come COLDTRAIN) come caricatore di accesso iniziale.
Feb 15, 2024 0
Feb 09, 2024 0
Gen 29, 2024 0
Gen 18, 2024 0
Mar 28, 2024 0
Mar 27, 2024 0
Mar 26, 2024 0
Mar 25, 2024 0
Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 27, 2024 0
La sanità viene presa di mira dagli infostealer: a dirlo...Mar 22, 2024 0
Nel 2024 i deepfake saranno una delle applicazioni di...Mar 21, 2024 0
Acronis annuncia l’ottenimento della qualificazione...Mar 19, 2024 0
Il numero di computer di Operation Technology (OT) è in...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 26, 2024 0
Un gruppo di ricercatori ha individuato un grosso problema...Mar 25, 2024 0
La scorsa settimana ha rappresentato una sfida...Mar 25, 2024 0
Il 22 marzo si è concluso il Pwn2Own, l’hackathon...Mar 22, 2024 0
Nel 2024 i deepfake saranno una delle applicazioni di...