Хакеры начинают использовать фреймворк постэксплуатации Havoc в атаках

Исследователи безопасности наблюдают, как злоумышленники переходят на новую платформу управления и контроля (C2) с открытым исходным кодом, известную как Havoc, в качестве альтернативы платным вариантам, таким как Cobalt Strike и Brute Ratel.

Хакеры начинают использовать фреймворк постэксплуатации Havoc в атаках. Фото: СС0

Среди наиболее интересных возможностей Havoc. Он обходит Microsoft Defender на современных устройствах с Windows 11, используя обфускацию сна, подмену стека адресов возврата и непрямые системные вызовы.

Как и другие комплекты для эксплуатации, Havoc включает в себя широкий спектр модулей, позволяющих тестерам (и хакерам) выполнять различные задачи на эксплуатируемых устройствах, включая выполнение команд, управление процессами, загрузку дополнительных полезных данных, манипулирование токенами Windows и выполнение шелл-кода.

Все это делается через веб-консоль управления, позволяющую «злоумышленнику» видеть все свои скомпрометированные устройства, события и выходные данные задач.

Недавно в начале января неизвестная группа угроз применила этот набор для пост-эксплуатации в рамках кампании атаки, направленной против неназванной правительственной организации.

Как заметили в исследовательской группе Zscaler ThreatLabz, ( группа обнаружиля использование на пректике), загрузчик шелл-кода, сброшенный на скомпрометированные системы, отключит отслеживание событий для Windows (ETW), а окончательная полезная нагрузка Havoc Demon будет загружена без заголовков DOS и NT, чтобы избежать обнаружения.

Фреймворк также был развернут с помощью вредоносного пакета npm (Aabquerys), опечатывающего законный модуль.

Из сообщения исследователя угроз Люсии Валентич.

«Demon.bin — это вредоносный агент с типичными функциями RAT (троян удаленного доступа), который был сгенерирован с использованием открытого исходного кода, пост-эксплуатации, системы управления и контроля под названием Havoc. Он поддерживает создание вредоносных агентов в нескольких форматах, включая исполняемый файл Windows PE, PE DLL и шелл-код».

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме