Хакеры начинают использовать в атаках постинженерную структуру Havoc

Исследователи безопасности наблюдают, как участники угроз переходят на новую платформу командования и контроля с открытым исходным кодом (C2), известную как Havoc, в качестве альтернативы платным опциям, таким как Cobalt Strike и Brute Ratel.

Среди наиболее интересных возможностей Havoc - кроссплатформенность, и он обходит Microsoft Defender на современных устройствах с Windows 11, используя обфускацию в режиме ожидания, подмену стека обратных адресов и косвенные системные вызовы.

Как и другие наборы для эксплуатации, Havoc включает в себя широкий спектр модулей, позволяющих тестировщикам пера (и хакерам) выполнять различные задачи на эксплуатируемых устройствах, включая выполнение команд, управление процессами, загрузку дополнительных полезных нагрузок, манипулирование токенами Windows и выполнение шеллкода.

Все это осуществляется через веб-консоль управления, позволяющую "злоумышленнику" видеть все свои скомпрометированные устройства, события и выходные данные задач.


рис. Пользовательский интерфейс Havoc (C5pider)

Havoc при атаках

Неизвестная хакерская группа недавно развернула этот комплект для последующей эксплуатации в начале января в рамках кампании атак, нацеленной на нераскрытую правительственную организацию.

Как заметила исследовательская группа Zscaler ThreatLabZ, обнаружившая это при исследовании, загрузчик shellcode, сброшенный на скомпрометированные системы, отключит отслеживание событий для Windows (ETW), и конечная полезная нагрузка Havoc Demon загружается без заголовков DOS и NT, чтобы избежать обнаружения.

Фреймворк также был развернут с помощью вредоносного npm-пакета (Aabquerys), который является легальным модулем подписи, как было показано в отчете исследовательской группы ReversingLabs ранее в этом месяце.

"Demon.bin - это вредоносный агент с типичными функциями RAT (троян удаленного доступа), который был создан с использованием платформы командования и контроля Havoc с открытым исходным кодом и последующей эксплуатацией", - сказала исследователь угроз ReversingLabs Люция Валентич.

"Он поддерживает создание вредоносных агентов в нескольких форматах, включая исполняемый файл Windows PE, PE DLL и shellcode".


рис. Список команд Havoc (Zscaler)

Альтернативы Cobalt Strike, развернутые в сети

В то время как Cobalt Strike стал наиболее распространенным инструментом, используемым различными группировками для установки "маяков" на взломанные сети своих жертв для последующего перемещения и доставки дополнительных вредоносных полезных нагрузок, некоторые из них также недавно начали искать альтернативы, поскольку защитники стали лучше обнаруживать и останавливать их атаки.

Как ранее сообщал BleepingComputer, другие варианты, которые помогают им обойти антивирусные решения и решения для обнаружения конечных точек и реагирования на них (EDR), включают Brute Ratel и Sliver.

Эти две платформы C2 уже были протестированы в полевых условиях широким кругом хакерских группировок, от финансово мотивированных банд киберпреступников до поддерживаемых государством хакерских группировок.

Brute Ratel, инструментарий для последующей эксплуатации, разработанный Mandiant и бывшим участником CrowdStrike red Четаном Наяком, использовался в атаках, предположительно связанных с хакерской группой APT29, спонсируемой Россией (она же CozyBear). В то же время некоторые лицензии Brute Ratel, вероятно, также попали в руки бывших членов банды вымогателей Conti.

В августе 2022 года Microsoft также отметила, что многочисленные участники угроз, от спонсируемых государством групп до банд киберпреступников (APT29, FIN12, Bumblebee / Coldtrain), теперь используют в своих атаках платформу Sliver C2 на базе Go, разработанную исследователями из фирмы по кибербезопасности BishopFox в качестве альтернативы Cobalt Strike.

Источник: https://www.bleepingcomputer.com/ne...havoc-post-exploitation-framework-in-attacks/
перевод яндекс