所谓的 Grasshopper：一小群黑客让整个以色列处于紧张状态

剖析中东地区从 Donut 到 Sliver 的现代网络攻击。

网络安全公司 HarfangLab 宣布了一项针对以色列各个组织的新活动。攻击者使用公开的 Donut 和 Sliver 框架来进行攻击。

报告 银子

该活动被称为“假设的 Grasshopper”，针对多个行业的企业，使用有针对性的基础设施和定制的 WordPress 网站来传播恶意软件。

恶意活动始于用 Nim 编写的加载程序。下载程序连接到 C2 服务器，从该服务器接收通过虚拟硬盘 (VHD) 文件传送的第二阶段恶意软件。作为 Drive-by 计划的一部分，VHD 文件通过专门创建的 WordPress 站点进行分发。

自定义 WordPress 网站

自定义 WordPress 网站

从服务器收到的第二阶段有效负载是 Donut，它是一个 shellcode 生成框架，充当部署 Cobalt Strike 开源替代方案（称为 Sliver）的渠道。

甜甜圈，

感染链

感染链

研究人员指出，活动运营者在购买专用基础设施和部署真实的 WordPress 网站来传递有效负载方面做出了巨大的努力。这表明该活动背后有一个规模虽小但组织严密的团体。

尽管研究人员付出了所有努力，但该活动的最终目标仍然未知。 HarfangLab 推测该活动可能与合法的渗透测试操作有关，引发了有关透明度和冒充以色列政府机构的必要性的问题。

Sliver 是一个跨平台的后开发框架