Хакеры начинают использовать фреймворк постэксплуатации Havoc в атаках
Хакеры начинают использовать фреймворк постэксплуатации Havoc в атаках. Фото: СС0
Среди наиболее интересных возможностей Havoc. Он обходит Microsoft Defender на современных устройствах с Windows 11, используя обфускацию сна, подмену стека адресов возврата и непрямые системные вызовы.
Как и другие комплекты для эксплуатации, Havoc включает в себя широкий спектр модулей, позволяющих тестерам (и хакерам) выполнять различные задачи на эксплуатируемых устройствах, включая выполнение команд, управление процессами, загрузку дополнительных полезных данных, манипулирование токенами Windows и выполнение шелл-кода.
Все это делается через веб-консоль управления, позволяющую «злоумышленнику» видеть все свои скомпрометированные устройства, события и выходные данные задач.
Недавно в начале января неизвестная группа угроз применила этот набор для пост-эксплуатации в рамках кампании атаки, направленной против неназванной правительственной организации.
Как заметили в исследовательской группе Zscaler ThreatLabz, ( группа обнаружиля использование на пректике), загрузчик шелл-кода, сброшенный на скомпрометированные системы, отключит отслеживание событий для Windows (ETW), а окончательная полезная нагрузка Havoc Demon будет загружена без заголовков DOS и NT, чтобы избежать обнаружения.
Фреймворк также был развернут с помощью вредоносного пакета npm (Aabquerys), опечатывающего законный модуль.
Из сообщения исследователя угроз Люсии Валентич.
«Demon.bin — это вредоносный агент с типичными функциями RAT (троян удаленного доступа), который был сгенерирован с использованием открытого исходного кода, пост-эксплуатации, системы управления и контроля под названием Havoc. Он поддерживает создание вредоносных агентов в нескольких форматах, включая исполняемый файл Windows PE, PE DLL и шелл-код».
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было