Sliver Implant IOCs

security IOC

Распространение Cobalt Strike в начале 2020-х годов было бесспорным, а его воздействие - неоспоримым. В ответ на этот вызов стратегии обнаружения защитников неуклонно развивались. Следовательно, принятие решений угрожающими субъектами в отношении инструментария, вероятно, также эволюционирует. Новая "альтернатива" Cobalt Strike, Sliver, была обнаружена в дикой природе в качестве инструментальной цепочки для начального заражения, основы для доставки ransomware и сканирования/возможного исследования уязвимостей Log4j / VMware Horizon.

Текущее преимущество Sliver заключается в его безвестности наряду с другими менее часто используемыми OST, поскольку большинство организаций по-прежнему сосредоточены на обнаружении Cobalt Strike. Это открывает возможный пробел в покрытии - нельзя ожидать, что кто-то сможет обнаружить все вещи. Этот пробел подвергает организации риску, связанному с этими менее известными, но все еще очень способными системами OST C2. Угроза, связанная со злонамеренным использованием Cobalt Strike, не уменьшилась, однако организациям рекомендуется не забывать и о других OST, направляя ресурсы на разработку механизмов обнаружения таких систем, как Sliver.

  • Sliver используется в качестве плацдарма для цепочки инструментов начального заражения
  • Sliver используется в системе доставки вымогательского ПО для атак, наблюдаемых в дикой природе
  • Sliver развертывается с помощью активного оппортунистического сканирования и возможной эксплуатации уязвимостей Log4j / VMware Horizon.
  • Sliver использовался для атак на правительственные, исследовательские, телекоммуникационные и университетские организации, а также на случайных жертв.

Indicators of Compromise

IPv4

  • 15.152.186.38
  • 16.162.223.161
  • 176.113.115.107
  • 193.27.228.127
  • 45.9.148.243

IPv4 Port Combinations

  • 15.152.186.38:80
  • 193.27.228.127:8888

Domains

  • dxb.ntcgov.org
  • geo.ntcgov.org
  • geo-raabta.ntcgov.org
  • geo-tv.ntcgov.org
  • khi-dc1.geo.ntcgov.org
  • khi-dc2.geo.ntcgov.org
  • king.geo.ntcgov.org
  • nationalhelpdesk.pk
  • ntcgov.org
  • ping.turkey.g0v.cq.cn
  • pkgov.org
  • sngpl.org.pk
  • tv.geo.ntcgov.org
  • uno-desk.org

SHA256

  • 08137096b85a3a2611249bb57ba9ace4e8efc9ba28cfddd8557edc3e11e9690c
  • 0ef7eebec233eb5e4156a8a4715c8d21d8930ea97c19780fc274a62260499412
  • 1f95397c4634f3348f3001a02eab269148f4c08271c2e2461905a4359f7c4761
  • 2190a7d8d7eafd4af56b01d9a828ab2dc553a804ccda4c291dce51ce01da81f8
  • 2d6785797cd3f2bfb377b985efe55db0220e12e3c7b1e12ee83888b61a5ad8da
  • 7f0deab21a3773295319e7a0afca1bea792943de0041e22523eb0d61a1c155e2
  • a862e2d3aa3a74e23665010ded23510210927d3c056d645f32479be0974e057a
  • b9e95117e23e6a69e71441aef07f9683cf0682f34f8f84f876822d8143a05776
  • bc94d6ed7abfea4239e941817cdad65a0a243e2e4a718ef401db4cbbef0bf478
  • c139a777b9b1bca0d7e43335d23c123171dbaceccf45a9eeaf359051e0d0be8e
  • d2958f7b646c092fe645cbdc4c7805490ff9d134c12fa8d945132e71880dd6fd
  • d8241e046cb9efcfa7ce733249d580eacff996d8669adbe71019eedafb696a55
  • f301e581bb62b251abc7009a709fb163ceeb63de42625d6bfc2ac9a07d9d3adb
  • fc2b02476805361fc5042adfb40b529431151a9c7da2b21fa3fa73e98fba9f64
SEC-1275-1
Добавить комментарий