Pesquisadores de cibersegurança descobriram uma campanha de ataque que visa diversas entidades israelenses, utilizando frameworks de código aberto, como Donut e Sliver. Os atacantes utilizam sites WordPress personalizados para distribuir cargas maliciosas, afetando várias entidades em diferentes setores.
O ataque começa com um downloader escrito em Nim, que baixa um malware de segundo estágio de um servidor de preparo. Este é entregue por meio de um arquivo VHD, suspeito de ser propagado via sites WordPress em um esquema de download drive-by. A carga útil de segundo estágio, Donut, é um framework de geração de shellcode que implanta o Sliver, uma alternativa open-source ao Cobalt Strike.
Os operadores da campanha investiram em infraestrutura dedicada e desenvolveram sites WordPress realistas para entregar as cargas maliciosas. Além disso, a equipe de pesquisa SonicWall Capture Labs detalhou uma cadeia de infecção que utiliza planilhas Excel armadilhas como ponto de partida para introduzir um trojan conhecido como Orcinius.
Este trojan usa o Dropbox e o Google Docs para baixar cargas de segundo estágio e manter-se atualizado. Ele contém um macro VBA ofuscado que monitora janelas em execução e registros de teclas, criando persistência através de chaves de registro.
A campanha parece ser altamente direcionada, aproveitando infraestrutura específica para cada alvo e afetando uma variedade de entidades de diferentes setores. Os pesquisadores destacam que a sofisticação do ataque sugere que ele poderia ser obra de uma pequena equipe. Eles também ressaltam a importância de medidas de transparência, especialmente quando operações de testes de penetração podem ser confundidas com ataques maliciosos.
Por fim, a revelação dessa campanha de ataque destaca a contínua evolução das técnicas de ciberataques e a necessidade de vigilância constante por parte das entidades e organizações. A colaboração entre empresas de segurança cibernética e entidades visadas é crucial para identificar e neutralizar essas ameaças.