Tin tặc bắt đầu sử dụng Havoc post-exploitation framework trong các cuộc tấn công
Các nhà nghiên cứu bảo mật đang thấy các tác nhân đe dọa chuyển sang khung lệnh và kiểm soát (C2) mới và nguồn mở được gọi là Havoc như một giải pháp thay thế cho các tùy chọn trả phí như Cobalt Strike và Brute Ratel.
Lịch Khai Giảng Các Khóa Học Bảo Mật & An Toàn Thông Tin Trực Tuyến CEH CHFI Security+ Pentest+ CPENT / LPT
Trong số các khả năng thú vị nhất của nó, Havoc là đa nền tảng và nó có thể bypass / bỏ qua Microsoft Defender trên các thiết bị Windows 11 cập nhật bằng cách sử dụng kỹ thuật che giấu chế độ sleep, giả mạo ngăn xếp địa chỉ trả về và indirect syscall.
Giống như các bộ công cụ khai thác khác, Havoc bao gồm nhiều mô-đun cho phép người kiểm tra bảo mật / penesting (và tin tặc) thực hiện các tác vụ khác nhau trên thiết bị bị khai thác, bao gồm thực thi lệnh, quản lý quy trình, tải xuống tải trọng bổ sung, thao tác mã thông báo Windows và thực thi mã shell.
Tất cả điều này được thực hiện thông qua bảng điều khiển quản lý dựa trên web, cho phép “kẻ tấn công” xem tất cả các thiết bị, sự kiện và đầu ra từ các tác vụ bị xâm nhập của chúng.
Havoc bị lạm dụng trong các cuộc tấn công
Một nhóm đe dọa không xác định gần đây đã triển khai bộ công cụ hậu khai thác này vào đầu tháng 1 như một phần của chiến dịch tấn công nhắm vào một tổ chức chính phủ không được tiết lộ.
Như nhóm nghiên cứu Zscaler ThreatLabz đã quan sát thấy , trình tải shellcode bị loại bỏ trên các hệ thống bị xâm nhập sẽ vô hiệu hóa tính năng Theo dõi sự kiện cho Windows (ETW) và tải trọng Havoc Demon cuối cùng được tải mà không có tiêu đề DOS và NT, cả hai đều nhằm tránh bị phát hiện .
Khung này cũng được triển khai thông qua mô-đun hợp pháp đánh máy gói npm độc hại (Aabquerys), như được tiết lộ trong một báo cáo từ nhóm nghiên cứu của ReversingLabs hồi đầu tháng này.
“Demon.bin là một tác nhân độc hại với các chức năng RAT (trojan truy cập từ xa) điển hình được tạo ra bằng cách sử dụng một khung mã nguồn mở, hậu khai thác, lệnh và kiểm soát có tên là Havoc,” nhà nghiên cứu mối đe dọa của ReversingLabs, Lucija Valentić cho biết.
“Nó hỗ trợ xây dựng các tác nhân độc hại ở một số định dạng bao gồm Windows PE thực thi, PE DLL và shellcode.”
Nhiều lựa chọn thay thế Cobalt Strike được triển khai trong tự nhiên
Mặc dù Cobalt Strike đã trở thành công cụ phổ biến nhất được các tác nhân đe dọa sử dụng khác nhau để thả “đèn hiệu” trên các mạng bị vi phạm của nạn nhân để di chuyển sau này và phân phối các tải trọng độc hại bổ sung, một số trong số chúng gần đây cũng đã bắt đầu tìm kiếm các giải pháp thay thế khi những người bảo vệ đã nhận được tốt hơn trong việc phát hiện và ngăn chặn các cuộc tấn công của họ.
Như BleepingComputer đã báo cáo trước đây, các tùy chọn khác giúp họ trốn tránh các giải pháp chống vi-rút và Phát hiện và phản hồi điểm cuối (EDR) bao gồm Brute Ratel và Sliver.
Hai khung C2 này đã được thử nghiệm thực địa bởi nhiều nhóm đe dọa, từ các băng nhóm tội phạm mạng có động cơ tài chính đến các nhóm hack do nhà nước hậu thuẫn.
Brute Ratel, một bộ công cụ hậu khai thác được phát triển bởi Chetan Nayak, cựu thành viên nhóm đỏ RedTeam của Mandiant và CrowdStrike, đã được sử dụng trong các cuộc tấn công bị nghi ngờ có liên quan đến nhóm hack do Nga tài trợ APT29 (hay còn gọi là CozyBear). Đồng thời, một số giấy phép Brute Ratel cũng có thể đã rơi vào tay các thành viên băng đảng ransomware Conti cũ.
Vào tháng 8 năm 2022, Microsoft cũng lưu ý rằng nhiều tác nhân đe dọa, từ các nhóm được nhà nước bảo trợ cho đến các băng nhóm tội phạm mạng (APT29, FIN12, Bumblebee/Coldtrain), hiện đang sử dụng khung Sliver C2 dựa trên Go do các nhà nghiên cứu tại công ty an ninh mạng BishopFox phát triển trong các cuộc tấn công của họ như một giải pháp thay thế cho Cobalt Strike.
Theo BC / Biên tâp CEHVIETNAM
ĐÀO TẠO AN TOÀN THÔNG TIN THEO CHUẨN QUỐC TẾ TRỰC TUYẾN 