Aggiornamenti recenti Aprile 26th, 2024 9:14 AM
Ago 29, 2022 Redazione news Malware, News, RSS 0
Microsoft ha osservato che il framework di comando e controllo (C2) Sliver viene ora adottato e integrato in campagne di intrusione da hacker legati a Stati nazione e gruppi di criminalità informatica che si dedicano al ransomware e alle estorsioni, per eludere il rilevamento.
I ricercatori riferiscono di aver visto questi attori utilizzare Sliver con, o in sostituzione di, Cobalt Strike. Data la popolarità di Cobalt Strike come strumento di attacco, anche le difese contro di esso sono migliorate nel tempo. Sliver rappresenta quindi un’alternativa interessante per i cyber criminali che cercano un set di strumenti meno conosciuto con una bassa barriera d’ingresso.
Reso pubblico per la prima volta alla fine del 2019, Sliver è un framework open source. Sviluppato da BishopFox, è stato creato per fornire ai professionisti della sicurezza che fanno test di penetrazione un meccanismo per imitare le azioni dei pirati nei loro ambienti. Tuttavia, analogamente a quanto accade con Cobalt Strike, le sue caratteristiche lo rendono anche uno strumento appetibile per i pirati stessi.
Sliver è disponibile su GitHub e include molte caratteristiche tipiche dei framework C2, come il supporto per più operatori simultanei, più tipi di listener, estensioni sviluppate dall’utente e generazione di payload.
Poiché Sliver è scritto nel linguaggio di programmazione Go (GoLang), i suoi impianti sono compatibili con più sistemi operativi, tra cui Windows, macOS e Linux. Per impostazione predefinita, gli operatori possono generare impianti in diversi formati, tra cui Shellcode, eseguibili, librerie condivise/DLL e servizi.
Sliver supporta anche gli stager, payload più piccoli con poche funzionalità incorporate, destinati principalmente a recuperare e lanciare un impianto completo. Gli stager sono utilizzati da molti framework C2 per ridurre al minimo il codice malevolo incluso in un payload iniziale (per esempio, in un’e-mail di phishing). Questo può rendere più difficile il rilevamento basato sui file.
Da dicembre 2020, Microsoft ha osservato che molti cyber criminali hanno inserito Sliver nel loro arsenale. Tra i suoi utilizzatori c’è il prolifico gruppo di Ransomware-as-a-Service (RaaS) DEV-0237. Più recentemente, vari criminali hanno sfruttato Sliver e vari strumenti post-compromissione utilizzando il malware Bumblebee (noto anche come COLDTRAIN) come caricatore di accesso iniziale.
Apr 17, 2024 0
Apr 10, 2024 0
Feb 15, 2024 0
Feb 09, 2024 0
Apr 26, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...