Согласно отчету Microsoft, правительственные хакеры, кибепреступные группировки и другие субъекты угроз стали чаще использовать в атаках кроссплатформенный open-source инструмент тестирования безопасности Sliver на основе Go, разработанный ИБ-компанией BishopFox. Это передает Securitylab.
Вымогательская группировка DEV-0237 ( FIN12 ) уже перешла на Sliver, а также российская группа APT29 (Cozy Bear, The Dukes, Grizzly Steppe) использовала Sliver для поддержания доступа к скомпрометированным средам.
Также Sliver разворачивается с помощью загрузчика Bumblebee (Coldtrain), который разработала Conti в качестве замены BazarLoader.
Несмотря на то, что Sliver – это новая угроза, существуют методы обнаружения ее вредоносной активности. C&C-сервер Sliver поддерживает несколько протоколов (DNS, HTTP/TLS, MTLS, TCP) и подключение имплантатов, а также может размещать файлы, имитирующие законный веб-сервер. Поэтому ИБ-специалисты могут настроить прослушиватели для выявления инфраструктуры Sliver в сети.
Microsoft также поделилась информацией о том, как обнаруживать полезные нагрузки Sliver (шелл-код, исполняемые файлы, DLL-библиотеки и службы). Специалисты могут настроить систему обнаружения для конкретного загрузчика или, если шелл-код не запутан, правила для полезной нагрузки шелл-кода.
Sliver также использует объектные файлы Beacon (Beacon Object Files, BFO), NET-приложения и другие сторонние инструменты для внедрения команд. Фреймворк также использует PsExect для запуска команд, обеспечивающих боковое перемещение.