25/01/23
Фреймворк управления и контроля (C2) под названием Sliver набирает всё большую популярность у злоумышленников. Он продвигается в качестве Open Source альтернативы другим C2 решениям вроде Cobalt Strike и Metasploit.
Sliver был разработан компанией BishopFox, занимающейся кибербезопасностью, поясняют в Securitylab. Он представляет собой кроссплатформенную среду постэксплуатации на основе Golang, предназначенную для использования специалистами по безопасности.
Бесчисленные функции Sliver для моделирования зловредных действий, такие как генерация динамического кода, выполнение полезной нагрузки в памяти и внедрение процессов — сделали его привлекательным инструментом для злоумышленников, стремящихся получить повышенный доступ к целевой системе.
Другими словами, программное обеспечение используется в качестве второго этапа для выполнения следующих шагов цепочки атак. Уже после того, как компьютер был скомпрометирован доступными киберпреступникам способами.
Гипотетическая последовательность атак, подробно описанная Cybereason, показывает, что Sliver может быть использован для повышения привилегий в системе, за которым последует кража конфиденциальных данных.
В последние годы Sliver использовался в своих атаках группами APT29 (она же Cozy Bear), Shathak (она же TA551) и Exotic Lily (она же Projector Libra).
Тем не менее, Sliver — далеко не единственный C2 фреймворк с открытым исходным кодом, который можно использовать в злонамеренных целях. В прошлом месяце компания Qualys рассказала, как несколько хакерских групп, в том числе Turla, Vice Society и Wizard Spider — использовали фреймворк Empire для постэксплуатации и расширения своих позиций. «Empire — это впечатляющая платформа для постэксплуатации с широкими возможностями», — сказал Акшат Прадхан, исследователь безопасности Qualys.
