Οι χάκερ χρησιμοποιούν το Havoc ως εναλλακτική του Cobalt Strike

Οι ειδικοί σε θέματα ασφάλειας στον κυβερνοχώρο έχουν εντοπίσει κακόβουλους φορείς να μετατοπίζονται σε μια πλατφόρμα C2 ανοιχτού κώδικα με την ονομασία Havoc ως υποκατάστατο των πληρωμένων εναλλακτικών λύσεων όπως οι Cobalt Strike και Brute Ratel.

Το Havoc είναι ένα εξαιρετικά ευέλικτο εργαλείο, που προσφέρει συμβατότητα πολλαπλών πλατφορμών και τη δυνατότητα παράκαμψης του Microsoft Defender σε συσκευές με Windows 11 με τη μοναδική λειτουργία sleep obfuscation, την τεχνική παραποίησης return address και τις έμμεσες κλήσεις syscalls.

Όπως και άλλα κιτ εκμετάλλευσης, το Havoc περιλαμβάνει μια μεγάλη ποικιλία από module που επιτρέπουν στους pen testers (και στους χάκερ) να εκτελούν διάφορες εργασίες σε συσκευές που εκμεταλλεύονται, όπως εκτέλεση εντολών, διαχείριση διαδικασιών, λήψη πρόσθετων payload, χειρισμό tokens των Windows και εκτέλεση shellcode.

Με την διαδικτυακή κονσόλα διαχείρισης, οι επιτιθέμενοι μπορούν εύκολα να παρακολουθούν τις παραβιασμένες συσκευές τους, να βλέπουν events και output εργασιών.

Δείτε επίσης: RedEyes: Χρησιμοποιεί το malware M2RAT για να κλέψει data από Windows και τηλέφωνα

Το Havoc έγινε abuse σε επιθέσεις

Κατά τη διάρκεια μιας εκστρατείας επίθεσης στις αρχές Ιανουαρίου, μια μυστηριώδης ομάδα κυκλοφόρησε αυτό το κιτ μετά την εκμετάλλευση για να στοχεύσει και να εκμεταλλευτεί έναν κυβερνητικό οργανισμό που δεν έχει αποκαλυφθεί.

Όπως παρατήρησε η ερευνητική ομάδα του Zscaler ThreatLabz που το εντόπισε, ο shellcode loader που έπεσε σε παραβιασμένα συστήματα θα απενεργοποιήσει το Event Tracing for Windows (ETW) και το τελικό Havoc Demon payload φορτώνεται χωρίς τα headers DOS και NT για την αποφυγή εντοπισμού.

Το πλαίσιο αναπτύχθηκε επίσης μέσω ενός κακόβουλου πακέτου npm (Aabquerys) που τυποκαθορίζει το νόμιμο module, όπως αποκαλύφθηκε σε μια αναφορά από την ερευνητική ομάδα της ReversingLabs νωρίτερα αυτόν τον μήνα.

Δείτε επίσης: Hyundai και Kia κυκλοφόρησαν patch για επικίνδυνο ελάττωμα ασφαλείας

Αναπτύσσονται περισσότερες εναλλακτικές λύσεις Cobalt Strike

​Ενώ το Cobalt Strike έχει γίνει το πιο συνηθισμένο εργαλείο που χρησιμοποιείται από διάφορους απειλητικούς παράγοντες για να ρίχνουν «beacons» στα παραβιασμένα δίκτυα των θυμάτων τους για μεταγενέστερη μετακίνηση και παράδοση πρόσθετων κακόβουλων payload, μερικοί από αυτούς άρχισαν επίσης πρόσφατα να αναζητούν εναλλακτικές, καθώς οι defenders έχουν γίνει καλύτεροι στον εντοπισμό και τη διακοπή των επιθέσεων τους.

Όπως ανέφερε προηγουμένως το BleepingComputer, άλλες εναλλακτικές είναι οι Brute Ratel και το Sliver.

Μια ποικιλία κακόβουλων απειλητικών ομάδων, από συμμορίες ηλεκτρονικού εγκλήματος με οικονομικά κίνητρα έως μονάδες hacking που υποστηρίζονται από το κράτος, έχουν ήδη δοκιμάσει αυτά τα δύο C2 framework στο πεδίο.

Δείτε επίσης: Windows 11: Διορθώνει ένα από τα πιο ενοχλητικά σφάλματα

Το Brute Ratel, ένα πακέτο εργαλείων post-exploitation που αναπτύχθηκε από τον πρώην συνεργάτη της Mandiant και του CrowdStrike, Chetan Nayak, έχει χρησιμοποιηθεί σε επιθέσεις που υποπτεύονται ότι συνδέονται με την ομάδα hacking APT29 (γνωστή και ως CozyBear) που χρηματοδοτείται από τη Ρωσία. Ταυτόχρονα, ορισμένες άδειες Brute Ratel πιθανότατα έχουν προσγειωθεί στα χέρια πρώην μελών της συμμορίας ransomware Conti.

Τον Αύγουστο του 2022, η Microsoft προειδοποίησε ότι αρκετοί κακόβουλοι φορείς, όπως ομάδες που υποστηρίζονται από το κράτος και συμμορίες κυβερνοεγκλήματος (APT29, FIN12, Bumblebee/Coldtrain), χρησιμοποιούν το framework Sliver C2 που βασίζεται στην Go και δημιουργήθηκε από ερευνητές της BishopFox.

Πηγή πληροφοριών: bleepingcomputer.com