Распространение Cobalt Strike в начале 2020-х годов было бесспорным, а его воздействие - неоспоримым. В ответ на этот вызов стратегии обнаружения защитников неуклонно развивались. Следовательно, принятие решений угрожающими субъектами в отношении инструментария, вероятно, также эволюционирует. Новая "альтернатива" Cobalt Strike, Sliver, была обнаружена в дикой природе в качестве инструментальной цепочки для начального заражения, основы для доставки ransomware и сканирования/возможного исследования уязвимостей Log4j / VMware Horizon.
Текущее преимущество Sliver заключается в его безвестности наряду с другими менее часто используемыми OST, поскольку большинство организаций по-прежнему сосредоточены на обнаружении Cobalt Strike. Это открывает возможный пробел в покрытии - нельзя ожидать, что кто-то сможет обнаружить все вещи. Этот пробел подвергает организации риску, связанному с этими менее известными, но все еще очень способными системами OST C2. Угроза, связанная со злонамеренным использованием Cobalt Strike, не уменьшилась, однако организациям рекомендуется не забывать и о других OST, направляя ресурсы на разработку механизмов обнаружения таких систем, как Sliver.
- Sliver используется в качестве плацдарма для цепочки инструментов начального заражения
- Sliver используется в системе доставки вымогательского ПО для атак, наблюдаемых в дикой природе
- Sliver развертывается с помощью активного оппортунистического сканирования и возможной эксплуатации уязвимостей Log4j / VMware Horizon.
- Sliver использовался для атак на правительственные, исследовательские, телекоммуникационные и университетские организации, а также на случайных жертв.
Indicators of Compromise
IPv4
- 15.152.186.38
- 16.162.223.161
- 176.113.115.107
- 193.27.228.127
- 45.9.148.243
IPv4 Port Combinations
- 15.152.186.38:80
- 193.27.228.127:8888
Domains
- dxb.ntcgov.org
- geo.ntcgov.org
- geo-raabta.ntcgov.org
- geo-tv.ntcgov.org
- khi-dc1.geo.ntcgov.org
- khi-dc2.geo.ntcgov.org
- king.geo.ntcgov.org
- nationalhelpdesk.pk
- ntcgov.org
- ping.turkey.g0v.cq.cn
- pkgov.org
- sngpl.org.pk
- tv.geo.ntcgov.org
- uno-desk.org
SHA256
- 08137096b85a3a2611249bb57ba9ace4e8efc9ba28cfddd8557edc3e11e9690c
- 0ef7eebec233eb5e4156a8a4715c8d21d8930ea97c19780fc274a62260499412
- 1f95397c4634f3348f3001a02eab269148f4c08271c2e2461905a4359f7c4761
- 2190a7d8d7eafd4af56b01d9a828ab2dc553a804ccda4c291dce51ce01da81f8
- 2d6785797cd3f2bfb377b985efe55db0220e12e3c7b1e12ee83888b61a5ad8da
- 7f0deab21a3773295319e7a0afca1bea792943de0041e22523eb0d61a1c155e2
- a862e2d3aa3a74e23665010ded23510210927d3c056d645f32479be0974e057a
- b9e95117e23e6a69e71441aef07f9683cf0682f34f8f84f876822d8143a05776
- bc94d6ed7abfea4239e941817cdad65a0a243e2e4a718ef401db4cbbef0bf478
- c139a777b9b1bca0d7e43335d23c123171dbaceccf45a9eeaf359051e0d0be8e
- d2958f7b646c092fe645cbdc4c7805490ff9d134c12fa8d945132e71880dd6fd
- d8241e046cb9efcfa7ce733249d580eacff996d8669adbe71019eedafb696a55
- f301e581bb62b251abc7009a709fb163ceeb63de42625d6bfc2ac9a07d9d3adb
- fc2b02476805361fc5042adfb40b529431151a9c7da2b21fa3fa73e98fba9f64