Вполне легальный C2-фреймворк Sliver набирает популярность среди хакеров, предупреждают специалисты компании Cybereason. Злоумышленники используют Sliver как опенсорсную альтернативу Cobalt Strike и Metasploit.
Sliver, разработанный ИБ-компанией BishopFox, представляет собой кроссплатформенный фреймворк для пост-эксплуатации на основе Go и предназначается для использования специалистами red team.
Его многочисленные функции, включая генерацию динамического кода, выполнение полезной нагрузки в памяти и способность осуществлять инжекты в процессы, сделали Sliver привлекательным инструментом для злоумышленников, которые стремятся расширить доступ к целевой системе после изначального взлома. То есть хакеры применяют Silver на уже взломанных машинах, которые предварительно были скомпрометированы, например, через целевой фишинг или эксплуатацию неисправленных уязвимостей.
Исследователи пишут, что Sliver может быть использован для повышения привилегий, за которым последует кража учетных данных и боковое перемещение, чтобы в конечном итоге захватить контроллер домена и похитить конфиденциальную информацию.
По данным Cybereason, в последние годы Sliver был взят на вооружение такими известными хак-группами, как русскоязычная APT29 (она же Cozy Bear), Shathak (она же TA551) и Exotic Lily (она же Projector Libra), которую связывают с загрузчиком Bumblebee.
При этом нужно отметить, что Silver – не единственный опенсорсный фреймворк, возможностями которого злоупотребляют злоумышленники. К примеру, недавно специалисты компании Qualys сообщали, что сразу несколько хакерских групп (включая Turla, Vice Society и Wizard Spider) используют фреймворк Empire для пост-эксплуатации и продвижения по сетям своих жертв.
