Израильские организации подверглись кибератакам с использованием фреймворков Donut и Sliver

В последние месяцы израильские компании стали мишенью целенаправленных кибератак, которые используют популярные открытые фреймворки Donut и Sliver. Организации, занимающиеся различными отраслями, стали жертвами этой атаки, которая начинается с использования инфраструктуры, специфической для цели, и специально подготовленных веб-сайтов на платформе WordPress для распространения вредоносных программ.

Как отмечает французская компания HarfangLab, проводящая мониторинг киберугроз, кампания, получившая название "Supposed Grasshopper", предположительно связана с использованием загрузчика на языке Nim, который скачивает вторичные вредоносные программы через виртуальные жесткие диски (VHD) и маскируется под легитимные сайты на WordPress. Второй этап атаки включает использование фреймворка Donut для генерации shellcode и развертывания альтернативы Cobalt Strike — Sliver.

Организация предполагает, что за кампанией может стоять легитимное пентестирование, однако использование таких продвинутых методов и внедрение в веб-инфраструктуру вопросы вызывает вопросы о намерениях и прозрачности действий злоумышленников.