Il framework Sliver si sta diffondendo nel cybercrime. Vediamo le gang che lo utilizzano

Sliver, è uno strumento multipiattaforma open source per attività di Red Team e fornisce tutte le funzionalità di base per la simulazione di un hacker criminale. 

Sliver offre molte funzionalità, tra cui:

• server di comando e controllo (C&C) sicuro tramite i protocolli mTLS, WireGuard, HTTP(S) e DNS;
• migrazione e implementazione dei processi Windows;
• manipolazione dei token personalizzati;
• gestore di pacchetti di estensione (arsenal) che consente di installare facilmente vari strumenti di terze parti, tra cui Ghostpack (Rubeus, Seatbelt, SharpUp, Certify e altri).

Threeat Actors che usano Sliver

I team di ricerca di tutto il mondo hanno osservato diversi gruppi di minacce che utilizzano attivamente Sliver.

• Nel giugno 2022, AvosLocker ha utilizzato diversi strumenti nella sua campagna, tra cui Cobalt Strike, Sliver e diversi scanner di rete commerciali;
• Nello stesso mese, il gruppo DriftingCloud ha distribuito 3 famiglie di malware open source come PupyRAT e Sliver;
• Nell’ottobre 2021, TA551 (Shathak), ha distribuito Sliver subito dopo aver ricevuto l’accesso iniziale per una maggiore flessibilità;
• Nel maggio 2021, il gruppo APT29 (SVR) ha utilizzato Sliver per mantenere la persistenza su una rete compromessa;
• Sliver viene distribuito anche utilizzando il loader Bumblebee, sviluppato da Conti in sostituzione di BazarLoader .

La piattaforma crea firme di rete e di sistema univoche, che consentono di determinare con successo le impronte digitali del server C&C.

Per proteggersi dagli attacchi Sliver, si consiglia agli utenti di prestare attenzione quando si gestiscono file provenienti da fonti esterne come e-mail e siti Web.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore