Silver เป็น command-and-control framework ที่ถูกสร้างขึ้นเพื่อใช้ทำ penetration testers (ทดสอบเจาะระบบ) ที่กำลังได้รับความสนใจจากกลุ่มผู่ไม่หวังดีมากขึ้น เพื่อใช้เป็นเครื่องมือทางเลือกแทน Cobalt Strike และ Metasploit ซึ่งเหตุการณ์นี้ถูกพบโดย Cybereason เมื่อสัปดาห์ที่ผ่านมา
Sliver พัฒนาโดยบริษัทด้านความปลอดภัยทางไซเบอร์ BishopFox โดยเป็น framework สำหรับให้ Red Team ใช้ทำการทดสอบเจาะระบบ ด้วยคุณสมบัติมากมาย เช่น จำลองพฤติกรรมการโจมตี, การสร้าง และอัปเดตซอร์สโค้ดโดยอัตโนมัติ, การเรียกใช้งาน payload และ process injection ทำให้มันกลายเป็นเครื่องมือที่น่าสนใจสำหรับกลุ่มผู่ไม่หวังดีที่ต้องการเข้าถึงระบบที่สำคัญของเหยื่อ หลังจากที่สามารถเข้าถึงระบบของเหยื่อได้แล้วในเบื้องต้น
โดย Silver จะถูกใช้ในขั้นตอนถัดไป หลังจากที่ผู้ไม่หวังดีสามารถโจมตี และเข้าถึงเครื่องของเหยื่อได้แล้ว ไม่ว่าจะด้วยช่องทาง Phishing หรือการเข้าถึงผ่านช่องโหว่ที่ยังไม่ได้รับการแก้ไข
Loïc Castel และ Meroujan Antonyan นักวิจัยของ Cybereason ระบุว่า "การเรียกใช้งาน payload เพื่อฝัง Silver C2 นั้นจะดำเนินการเป็นขั้นตอนถัดไป หลังจากที่ผู้โจมตีสามารถเข้าถึงเครื่องของเหยื่อแล้ว และจาก Sliver C2 server เราจะได้รับ shell session จาก session ดังกล่าว และสามารถเรียกใช้งานคำสั่ง, สคริปต์ หรือไบนารีอื่น ๆ ได้อย่างหลากหลาย"
โดยการโจมตีด้วยการใช้ Silver มีรายละเอียดดังนี้
Sliver สามารถใช้ประโยชน์จากการยกระดับสิทธิ์ ตามมาด้วยการขโมยข้อมูลประจำตัว และการโจมตีไปยังเครื่องอื่น ๆ ในเครือข่าย เพื่อเข้าควบคุม Domain Controller และขโมยข้อมูลสำคัญบนระบบในท้ายที่สุด
Silver ถูกนำมาใช้ในการโจมตีในช่วงไม่กี่ปีที่ผ่านมาโดยกลุ่ม APT29 ที่มีความเกี่ยวข้องกับรัฐบาลรัสเซีย หรือที่รู้จักกันในชื่อ Cozy Bear รวมถึงกลุ่ม Shathak หรือที่รู้จักกันในชื่อ TA551 และ Exotic Lily หรือ Projector Libra ซึ่งกลุ่มหลังนั้นจะเกี่ยวข้องกับมัลแวร์ที่มีชื่อว่า Bumblebee
นอกจากนี้ Silver นั้นไม่ใช่โอเพ่นซอร์สเดียวที่ถูกนำมาใช้ในการโจมตี เมื่อเดือนที่ผ่านมา Qualys เคยรายงานว่าโอเพ่นซอร์สอย่าง Empire ก็เคยถูกนำมาใช้เพื่อเข้าถึง และแฝงตัวอยู่ในระบบของเหยื่อ
Akshat Pradhan นักวิจัยด้านความปลอดภัยของ Qualys ระบุว่า "Empire เป็น framework ที่น่าสนใจ และด้วยความสามารถที่หลากหลาย ทำให้มันกลายเป็นเครื่องมือยอดนิยมของกลุ่มผู้ไม่หวังดีหลาย ๆ ราย"
ที่มา : thehackernews
You must be logged in to post a comment.