Pesquisadores de segurança cibernética descobriram uma campanha de ataque que tem como alvo várias entidades israelenses com estruturas disponíveis publicamente, como Donut e Sliver.
A campanha, que se acredita ser altamente direcionada por natureza, “aproveita a infraestrutura específica do alvo e websites WordPress personalizados como um mecanismo de entrega de carga útil, mas afeta uma variedade de entidades em setores verticais não relacionados e depende de malware de código aberto bem conhecido”, disse o HarfangLab em um relatório na semana passada.
A empresa francesa está rastreando a atividade sob o nome Supposed Grasshopper. É uma referência a um servidor controlado pelo invasor (“auth.economy-gov-il(.)com/SUPPOSED_GRASSHOPPER.bin”), ao qual um downloader de primeiro estágio se conecta.
Este downloader, escrito em Nim, é rudimentar e tem a tarefa de baixar o malware de segundo estágio do servidor de preparação. Ele é entregue por meio de um arquivo de disco rígido digital (VHD) que é suspeito de ser propagado por websites WordPress personalizados como parte de um esquema de obtain drive-by.
A carga útil do segundo estágio recuperada do servidor é o Donut, uma estrutura de geração de shellcode, que serve como um canal para implantar uma alternativa de código aberto ao Cobalt Strike chamada Sliver.
“Os operadores também fizeram alguns esforços notáveis na aquisição de infraestrutura dedicada e na implantação de um website WordPress realista para entregar payloads”, disseram os pesquisadores. “No geral, esta campanha parece que poderia ser realisticamente o trabalho de uma pequena equipe.”
O objetivo remaining da campanha é atualmente desconhecido, embora o HarfangLab tenha teorizado que ela também poderia estar associada a uma operação legítima de teste de penetração, uma possibilidade que levanta seu próprio conjunto de questões em torno da transparência e da representação de agências do governo israelense.
A divulgação ocorre no momento em que a equipe de pesquisa de ameaças do SonicWall Seize Labs detalhou uma cadeia de infecção que utiliza planilhas do Excel com armadilhas como ponto de partida para instalar um trojan conhecido como Orcinius.
“Este é um trojan multiestágio que está usando o Dropbox e o Google Docs para baixar payloads de segundo estágio e se manter atualizado”, disse a empresa. “Ele contém uma macro VBA ofuscada que se conecta ao Home windows para monitorar janelas em execução e pressionamentos de tecla e cria persistência usando chaves de registro.”
