网络犯罪集团越来越多地采用 Slimver 命令和控制框架

Hackernews 编译，转载请注明出处：

国家黑客越来越多地在其入侵活动中采用和整合Sliver命令和控制（C2）框架，以取代Cobalt Strike。

微软安全专家说：“鉴于Cobalt Strike作为攻击工具的受欢迎程度，随着时间的推移，针对它的防御措施也有所提高。因此，Sliver为寻找低门槛的鲜为人知的工具集的黑客提供了一个有吸引力的选择。”

Silver于2019年底由网络安全公司BishopFox首次公开，是一个基于Go的开源C2平台，支持用户开发的扩展、自定义植入物生成和其他征用选项。

“C2框架通常包括一个服务器，该服务器接受来自受损系统上植入物的连接，以及一个客户端应用程序，该客户端应用程序允许C2操作员与植入物进行交互并发出恶意命令。”微软表示。

除了促进对受感染主机的长期访问外，跨平台工具包还提供stagers，这是一种主要用于在受损系统上检索和启动全功能后门的有效载荷。

其用户中包括一个多产的勒索软件即服务（RaaS）附属公司，被追踪为DEV-0237（又名FIN12），该附属公司以前利用从其他集团（又名初始访问代理）获得的初始访问权限来部署各种勒索软件，如Ryuk、Conti、Hive和BlackCat。

微软表示，它最近观察到网络犯罪行为人通过将Sliver和其他后期开发软件嵌入到Bumblebee（又名COLDTRAIN）加载器中，然后将其丢弃。该加载器于今年早些时候作为BazarLoader的继任者出现，并与更大的Conti集团有联系。

从Cobalt Strike到免费可用的工具被认为是对手的一种尝试，以减少其在受损环境中暴露的机会，并使归因具有挑战性，从而提高其活动的隐蔽性和持久性。

Sliver并不是唯一一个引起黑客注意的框架。近几个月来，一个可疑的俄罗斯国家赞助组织开展的活动涉及另一个名为Brute Ratel的合法对抗性攻击模拟软件。

“Sliver和许多其他C2框架是黑客如何不断试图逃避自动安全检测的另一个例子。”微软表示。

消息来源：TheHackerNews，译者：Shirley；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文