Les acteurs de la menace des États-nations adoptent et intègrent de plus en plus le cadre de commandement et de contrôle (C2) Sliver dans leurs campagnes d’intrusion en remplacement de Cobalt Strike.
« Compte tenu de la popularité de Cobalt Strike en tant qu’outil d’attaque, les défenses contre celui-ci se sont également améliorées au fil du temps », ont déclaré les experts en sécurité de Microsoft. a dit. « Sliver présente ainsi une alternative intéressante pour les acteurs à la recherche d’un ensemble d’outils moins connus avec une faible barrière à l’entrée. »
Sliver, rendu public pour la première fois fin 2019 par la société de cybersécurité BishopFox, est basé sur Go plate-forme C2 open source qui prend en charge les extensions développées par l’utilisateur, la génération d’implants personnalisés et d’autres options de réquisition.
« Un framework C2 comprend généralement un serveur qui accepte les connexions des implants sur un système compromis, et une application client qui permet aux opérateurs C2 d’interagir avec les implants et de lancer des commandes malveillantes », a déclaré Microsoft.
En plus de faciliter l’accès à long terme aux hôtes infectés, le kit multiplateforme est également connu pour fournir des intermédiaires, qui sont des charges utiles principalement destinées à récupérer et à lancer une porte dérobée complète sur des systèmes compromis.
Inclus parmi ses utilisateurs est une filiale prolifique de ransomware-as-service (RaaS) suivie comme DEV-0237 (alias FIN12) qui a déjà exploité l’accès initial acquis auprès d’autres groupes (alias courtiers d’accès initiaux) pour déployer diverses souches de ransomwares telles que Ryuk, Conti, Hive et BlackCat.
Microsoft a déclaré avoir récemment observé des acteurs de la cybercriminalité abandonnant Sliver et d’autres logiciels de post-exploitation en les intégrant dans le chargeur Bumblebee (alias COLDTRAIN), qui a émergé plus tôt cette année en tant que successeur de BazarLoader et partage des liens avec le plus grand syndicat Conti.
La migration de Cobalt Strike vers un outil disponible gratuitement est considérée comme une tentative de la part des adversaires de réduire leurs chances d’exposition dans un environnement compromis et de rendre l’attribution difficile, donnant à leurs campagnes un niveau accru de furtivité et de persistance.
Sliver n’est pas le seul framework qui a attiré l’attention d’acteurs malveillants. Au cours des derniers mois, des campagnes menées par un groupe soupçonné d’être parrainé par l’État russe ont impliqué un autre logiciel légitime de simulation d’attaques contradictoires nommé Brute Ratel.
« Sliver et de nombreux autres frameworks C2 sont un autre exemple de la façon dont les acteurs de la menace tentent continuellement d’échapper aux détections de sécurité automatisées », a déclaré Microsoft.