Недавно компания ASEC обнаружила, что Sliver C2 распространяется под видом установочных файлов корейских VPN-провайдеров и производителей маркетинговых программ. В отличие от прошлых случаев, когда использовался SparkRAT, в последних атаках применялся Sliver C2 и использовались приемы, позволяющие избежать обнаружения.
На данный момент большинство сайтов пострадавших компаний предоставляют для загрузки обычные установочные файлы. Поэтому неизвестно, распространялся ли этот штамм вредоносной программы в виде инсталляторов на официальных сайтах до их исправления, как это было в предыдущих случаях, или же существуют другие пути распространения. Тем не менее, при исследовании штаммов вредоносных программ выяснилось, что все они связаны с программным обеспечением, поставляемым одной и той же компанией-разработчиком.
Большинство образцов вредоносных программ имели сертификаты, замаскированные под действительные сертификаты этой компании. Также было обнаружено несколько образцов, подписанных действительными сертификатами.
Вредоносные инсталляторы по-прежнему загружаются на сайт загрузки программного обеспечения, предоставляемого этой компанией, поэтому пользователи могут не знать об этом факте и установить соответствующий файл. В свете этих фактов можно предположить, что агент угроз атаковал компанию-разработчика и распространил инсталляторы со штаммами вредоносного ПО. Подобные атаки стабильно проводятся с первой половины 2023 года.
Indicators of Compromise
Domains
- config.v6.army
- panda.sect.kr
- speed.ableoil.net
- status.devq.workers.dev
URLs
- https://config.v6.army/sans.woff2
MD5
- 10298c1ddae73915eb904312d2c6007d
- 1906bf1a2c96e49bd8eba29cf430435f
- 23f72ee555afcd235c0c8639f282f3c6
- 27a24461bd082ec60596abbad23e59f2
- 499f0d42d5e7e121d9a751b3aac2e3f8
- 5eb6821057c28fd53b277bc7c6a17465
- 70257b502f6db70e0c75f03e750dca64
- 73f83322fce3ef38b816bef8fa28d37b
- 95dac8965620e69e51a1dbdf7ebbf53a
- b4481eef767661e9c9524d94d808dcb6
- b66f351c35212c7a265272d27aa09656
- e84750393483bbb32a46ca5a6a9d253c
- ea20d797c0046441c8f8e76be665e882
- eefbc5ec539282ad47af52c81979edb3
