Threat Actors Turn to Sliver as Open Source Alternative to Popular C2 Frameworks
2023/01/23 TheHackerNews — Cobalt Strike や Metasploit に代わるオープンソースのフレームワークであり、合法的な Command and Control (C2) フレームワークである Sliver が、脅威アクターたちの支持を集めていることが判明した。サイバー・セキュリティ企業である BishopFox が開発した Sliver は、Golang ベースのクロスプラットフォームなポスト・エクスプロイト・フレームワークであり、レッドチームが使用することを想定して設計されている。先週に Cybereason が実施した徹底的な分析により、この Sliver の内部構造が詳細まで明らかにされた。
Sliver が提供するものには、動的コード生成/インメモリ・ペイロード実行/プロセス・インジェクションなどがあり、敵対者をシミュレートするための、無数の機能を備えている。したがって、侵害を成功させ、足場を固めた脅威アクターたちが、ターゲット・システムへの高度なアクセスを狙う際に、とても魅力的なツールとなる。
言い換えれるなら、最初の侵入経路としてスピアフィッシングや脆弱性などを行い、すでにマシンを侵害した脅威アクターが、攻撃チェーンにおける次ステップを実行する際に、このソフトウェアを第2段階として使用することになる。
Cybereason の研究者である Loïc Castel と Meroujan Antonyan は、「Silver の C2 インプラントは、第2段階のペイロードとしてローカルで実行され、Sliver C2 サーバからシェル・セッションを取得する。このセッションが、コマンド/スクリプト/バイナリなどを実行するための、複数の方法を提供する」と述べている。
同社が詳述する仮想的な攻撃手順では、Sliver による権限昇格が行われた後に、クレデンシャル窃盗と横移動により、最終的にはドメイン・コントローラーの乗っ取りと、機密データの流出が可能なことが示されている。
近年において Sliver は、ロシアに関連する APT29 (別名 Cozy Bear)/Shathak (別名TA551)/Exotic Lily (別名Projector Libra) などのサイバー犯罪者により武器化されており、マルウェア・ローダーである Bumblebee にも関係している。
とは言え、 Sliver だけが、サイバー犯罪で悪用されるオープンソース・フレームワークというわけではない。2022年12月に Qualys は、Turla/Vice Society/Wizard Spider などの複数のハッキング・グループが、Empire をポスト・エクスプロイトに利用し、被害者の環境内で足場を拡大したことを明らかにしている。
Qualys のセキュリティ研究者である Akshat Pradhan は、「Empire は、拡張的な機能を備えた印象的なポスト・エクスプロイト・フレームワークである。その点が、サイバー犯罪者たちに頻繁に利用される理由だろう」と述べている。
Sliver については、2022/08/25 に 「Sliver Tookit という最新/最強の攻撃ツール:Cobalt Strike は過去の遺物に?」という記事をアップしていますが、そちらの記事にも、ロシアの APT29 が Sliver を使用していると記されていました。なお、2022/11/22 には、「Nighthawk というレッドチームツール:Cobalt Strike のように悪用される可能性」という記事もアップしていますので、よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.