innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

イスラエル組織を狙うサイバー攻撃、DonutとSliverフレームワークを利用

イスラエル組織を狙うサイバー攻撃、DonutとSliverフレームワークを利用 - innovaTopia - (イノベトピア)

Last Updated on 2024-07-03 13:39 by admin

サイバーセキュリティ研究者たちは、DonutおよびSliverという公開フレームワークを使用して、様々なイスラエルの組織を標的とする攻撃キャンペーンを発見した。このキャンペーンは、特定のインフラとカスタムWordPressサイトをペイロード配信メカニズムとして利用し、関連性のない様々な分野の組織に影響を与えるものである。攻撃者は、オープンソースのマルウェアを活用している。フランスのHarfangLabによる報告によると、この活動は「Supposed Grasshopper」という名前で追跡されている。初期段階のダウンローダーはNimで書かれており、ステージングサーバーから第二段階のマルウェアをダウンロードする任務を持っている。このマルウェアは、仮想ハードディスク(VHD)ファイルを介して配布され、ドライブバイダウンロード方式の一環としてカスタムWordPressサイトを介して伝播される疑いがある。サーバーから取得される第二段階のペイロードはDonutであり、これはシェルコード生成フレームワークであり、オープンソースのCobalt Strike代替品であるSliverを展開するための媒介として機能する。キャンペーンの最終目的は現在不明であるが、HarfangLabは、これが合法的なペネトレーションテスト作業と関連している可能性もあると推測している。この可能性は、透明性とイスラエル政府機関のなりすましに関する独自の問題を提起する。

また、SonicWall Capture Labsの脅威研究チームは、トロイの木馬であるOrciniusをドロップするための起点として、仕掛けられたExcelスプレッドシートを使用する感染チェーンを詳細に説明している。これは、DropboxとGoogle Docsを使用して第二段階のペイロードをダウンロードし、更新を続けるマルチステージトロイの木馥である。Windowsの実行中のウィンドウとキーストロークを監視するためにWindowsにフックする難読化されたVBAマクロを含み、レジストリキーを使用して永続性を作成する。

【ニュース解説】

最近、イスラエルの様々な組織が、DonutおよびSliverという公開フレームワークを使用したサイバー攻撃の標的になりました。この攻撃キャンペーンは、特定のインフラとカスタムWordPressサイトを利用して、関連性のない多様な分野の組織にペイロードを配信するという特徴があります。攻撃者は、オープンソースのマルウェアを活用しており、この活動は「Supposed Grasshopper」という名前で知られています。

この攻撃キャンペーンの初期段階では、Nim言語で書かれたダウンローダーが使用され、これがステージングサーバーから第二段階のマルウェアをダウンロードする役割を果たします。このマルウェアは、仮想ハードディスク(VHD)ファイルを介して配布され、カスタムWordPressサイトを通じてドライブバイダウンロード方式で伝播される疑いがあります。第二段階のペイロードはDonutフレームワークであり、これはシェルコード生成フレームワークで、オープンソースのCobalt Strikeの代替品であるSliverを展開するために使用されます。

このキャンペーンの最終目的はまだ不明ですが、合法的なペネトレーションテスト作業と関連している可能性があるとされています。この可能性は、透明性やイスラエル政府機関のなりすましといった問題を提起します。

また、SonicWall Capture Labsの脅威研究チームは、トロイの木馬であるOrciniusをドロップするための起点として、仕掛けられたExcelスプレッドシートを使用する感染チェーンについても詳細を報告しています。このトロイの木馬は、DropboxとGoogle Docsを使用して第二段階のペイロードをダウンロードし、更新を続けるマルチステージのものです。難読化されたVBAマクロを含み、Windowsの実行中のウィンドウとキーストロークを監視し、レジストリキーを使用して永続性を確保します。

このような攻撃キャンペーンは、サイバーセキュリティの脅威がいかに巧妙で多様化しているかを示しています。特に、オープンソースのツールや公開フレームワークを悪用することで、攻撃者は迅速に攻撃を展開し、検出を避けることが可能になります。このため、組織は、定期的なセキュリティ監査、従業員のセキュリティ意識向上トレーニング、脆弱性の迅速な修正など、包括的なセキュリティ対策を講じることが重要です。また、合法的なペネトレーションテストと攻撃キャンペーンを区別するための透明性の確保も、今後の課題となるでしょう。

from Israeli Entities Targeted by Cyberattack Using Donut and Sliver Frameworks.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » イスラエル組織を狙うサイバー攻撃、DonutとSliverフレームワークを利用

Latest News