Los actores de amenazas del estado-nación están adoptando e integrando cada vez más el marco de comando y control (C2) de Sliver en sus campañas de intrusión como reemplazo de Cobalt Strike.
«Dada la popularidad de Cobalt Strike como herramienta de ataque, las defensas contra él también han mejorado con el tiempo», expertos en seguridad de Microsoft dijo. «Sliver presenta una alternativa atractiva para los actores que buscan un conjunto de herramientas menos conocido con una barrera de entrada baja».
Sliver, que se hizo público por primera vez a finales de 2019 por la empresa de ciberseguridad BishopFox, es un dispositivo basado en Go. plataforma C2 de código abierto que admite extensiones desarrolladas por el usuario, generación de implantes personalizados y otras opciones de control.
«Un marco C2 generalmente incluye un servidor que acepta conexiones de implantes en un sistema comprometido y una aplicación cliente que permite a los operadores de C2 interactuar con los implantes y lanzar comandos maliciosos», dijo Microsoft.
Además de facilitar el acceso a largo plazo a los hosts infectados, también se sabe que el kit multiplataforma ofrece etapas, que son cargas útiles destinadas principalmente a recuperar y lanzar una puerta trasera con todas las funciones en sistemas comprometidos.
Incluido entre sus usuarios se encuentra un prolífico ransomware-as-service (RaaS) afiliado rastreado como DEV-0237 (también conocido como FIN12) que anteriormente aprovechó el acceso inicial adquirido de otros grupos (también conocidos como corredores de acceso inicial) para implementar varias cepas de ransomware como Ryuk, Conti, Hive y BlackCat.
Microsoft dijo que recientemente observó a los ciberdelincuentes eliminar Sliver y otro software posterior a la explotación incrustándolos en el cargador Bumblebee (también conocido como COLDTRAIN), que surgió a principios de este año como sucesor de BazarLoader y comparte vínculos con el sindicato Conti más grande.
La migración de Cobalt Strike a una herramienta disponible gratuitamente se considera un intento por parte de los adversarios de disminuir sus posibilidades de exposición en un entorno comprometido y hacer que la atribución sea un desafío, dando a sus campañas un mayor nivel de sigilo y persistencia.
Sliver no es el único marco que ha llamado la atención de los actores malintencionados. En los últimos meses, las campañas emprendidas por un presunto grupo patrocinado por el estado ruso han involucrado otro software legítimo de simulación de ataques adversarios llamado Brute Ratel.
«Sliver y muchos otros marcos C2 son otro ejemplo de cómo los actores de amenazas intentan continuamente evadir las detecciones de seguridad automatizadas», dijo Microsoft.