Odborníci v oblasti kybernetické bezpečnosti upozornili na objevení nového nástroje pro post-exploataci, nazvaného Splinter. Jednotka 42 společnosti Palo Alto Networks sdílela své poznatky poté, co program objevila na několika systémech svých zákazníků.
„Má standardní sadu funkcí běžně nalezených v nástrojích pro penetrační testování a jeho vývojář jej vytvořil pomocí programovacího jazyka Rust,“ uvedl Dominik Reichel z Unit 42. „I když Splinter není tak pokročilý jako jiné známé nástroje pro post-exploataci, jako je Cobalt Strike, stále představuje potenciální hrozbu pro organizace, pokud je zneužit.“
Nástroje pro penetrační testování se běžně využívají v operacích red teamu pro identifikaci možných bezpečnostních hrozeb v síti firmy. Tyto simulace útoků však mohou být zneužity i ze strany útočníků. Jednotka 42 uvedla, že nezjistila žádnou aktivitu útočníků spojenou se sadou nástrojů Splinter. Zatím nejsou k dispozici žádné informace o tom, kdo nástroj vyvinul.
Artefakty objevené firmou pro kybernetickou bezpečnost odhalují, že jsou „mimořádně velké“, přibližně 7 MB, především kvůli přítomnosti 61 Rust krabic v něm.
Splinter se neliší od jiných rámců pro post-exploataci jelikož přichází s konfigurací, která zahrnuje informace o serveru pro příkazy a řízení (C2), které jsou analyzovány za účelem navázání kontaktu se serverem pomocí HTTPS.
„Implantáty Splinter jsou řízeny modelem založeným na úkolech, což je běžné pro post-exploataci,“ poznamenal Reichel. „Získává své úkoly ze serveru C2, který útočník definoval.“
Některé z funkcí nástroje zahrnují provádění příkazů Windows, spouštění modulů prostřednictvím vzdálené injekce procesů, nahrávání a stahování souborů, shromažďování informací o účtech cloudových služeb a mazání sebe sama ze systému.
„Rostoucí rozmanitost podtrhuje důležitost udržování aktuálních schopností prevence a detekce, protože útočníci pravděpodobně použijí jakékoli techniky, které jsou účinné pro kompromitaci organizací,“ řekl Reichel.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
