Home Ciberguerra Los grupos de ciberdelincuentes adoptan cada vez más el marco de mando...

Los grupos de ciberdelincuentes adoptan cada vez más el marco de mando y control de Sliver

Los actores de las amenazas estatales están adoptando e integrando cada vez más el marco de mando y control (C2) Sliver en sus campañas de intrusión como sustituto de Cobalt Strike.

Sliver, hecho público por primera vez a finales de 2019 por la empresa de ciberseguridad BishopFox, es una plataforma C2 de código abierto basada en Go que admite extensiones desarrolladas por el usuario, generación de implantes personalizados y otras opciones de comandos.

“Un marco C2 generalmente incluye un servidor que acepta conexiones de implantes en un sistema comprometido, y una aplicación cliente que permite a los operadores C2 interactuar con los implantes y lanzar comandos maliciosos”, dijo Microsoft.

Además de facilitar el acceso a largo plazo a los hosts infectados, el kit multiplataforma también es conocido por entregar stagers, que son cargas útiles destinadas principalmente a recuperar y lanzar una puerta trasera con todas las funciones en los sistemas comprometidos.

Entre sus usuarios se encuentra un prolífico afiliado de ransomware-as-service (RaaS) rastreado como DEV-0237 (alias FIN12) que ha aprovechado anteriormente el acceso inicial adquirido de otros grupos (alias brokers de acceso inicial) para desplegar varias cepas de ransomware como Ryuk, Conti, Hive y BlackCat.

Microsoft dijo que recientemente observó que los actores del cibercrimen dejaban caer Sliver y otros programas de post-explotación incrustándolos dentro del cargador Bumblebee (también conocido como COLDTRAIN), que surgió a principios de este año como un sucesor de BazarLoader y comparte vínculos con el sindicato más grande Conti.