Güvenlik araştırmacıları, tehdit aktörlerinin Havoc olarak bilinen yeni ve açık kaynaklı bir komuta ve kontrol (C2) çerçevesine geçtiğini görüyorlar.
En ilginç yetenekleri arasında Havoc çapraz platformdur ve Microsoft Defender'ı uyku gizleme, dönüş adresi yığın sahtekarlığı ve dolaylı syscalls kullanarak güncel Windows 11 cihazlarda atlar.
Diğer sömürü kitleri gibi, Havoc, kalem test edicilerinin (ve bilgisayar korsanlarının) komutların yürütülmesi, süreçlerin yönetilmesi, ek yüklerin indirilmesi, pencere tokenlerinin işlenmesi ve kabuk kodu yürütme gibi sömürülen cihazlarda çeşitli görevleri yerine getirmesine izin veren çok çeşitli modüller içerir.
Tüm bunlar, "saldırganın" tüm tehlikeye atılan cihazlarını, etkinliklerini ve çıktılarını görmesine izin veren web tabanlı bir yönetim konsolu aracılığıyla yapılır.
Bilinmeyen bir tehdit grubu yakın zamanda bu kovum sonrası kitini, açıklanmayan bir hükümet organizasyonunu hedefleyen bir saldırı kampanyasının bir parçası olarak Ocak ayı başlarında konuşlandırdı.
Gözlemlenen vahşi içinde tespit edilen zscaler tehdit araştırma ekibi, tehlikeye atılan sistemlere düşen kabuk kodu yükleyicisi, Windows (ETW) için olay izlemesini devre dışı bırakacak ve son tahribat iblis yükü DOS ve NT başlıkları olmadan yüklenir, her ikisi de tespitten kaçınır .
Çerçeve ayrıca, bu ayın başlarında ReversingLabs'ın araştırma ekibinin bir raporunda açıklandığı gibi, kötü amaçlı bir NPM paketi (Aabquerys) yazım hatası meşru modül aracılığıyla da dağıtıldı.
ReversingLabs Tehdit Araştırmacısı Lucija Valentić, "Demon.Bin, açık kaynak, HAVOC adlı komuta ve kontrol çerçevesi kullanılarak oluşturulan tipik sıçan (uzaktan erişim truva) işlevlerine sahip kötü niyetli bir ajandır." Dedi.
"Windows PE Yürütülebilir, PE DLL ve Shellcode dahil olmak üzere çeşitli formatlarda kötü amaçlı ajanlar oluşturmayı destekliyor."
Kobalt Strike, çeşitli tehdit aktörleri tarafından kurbanlarının ihlal edilen ağlarına "Beacons" u daha sonra harekete geçirmeleri ve ek kötü niyetli yüklerin sunulması için kullanan en yaygın araç haline gelse de, bazıları da son zamanlarda savunucular aldıkça alternatifler aramaya başladı. Saldırılarını tespit etmek ve durdurmada daha iyi.
BleepingComputer'ın daha önce bildirdiği gibi, antivirüs ve uç nokta tespit ve yanıt (EDR) çözümlerinden kaçınmasına yardımcı olan diğer seçenekler arasında Brute Ratel ve Sliver bulunur.
Bu iki C2 çerçevesi, finansal olarak motive olmuş siber suç çetelerinden devlet destekli hack gruplarına kadar çok çeşitli tehdit grupları tarafından zaten alan test edilmiştir.
Mantiant ve Crowdstrike eski kırmızı takımcısı Chetan Nayak tarafından geliştirilen bir sömürü sonrası araç seti olan Brute Ratel, Rus destekli hack grubu APT29 (aka Cozybear) ile bağlantılı olduğundan şüphelenilen saldırılarda kullanılmıştır. Aynı zamanda, bazı kaba ratel lisansları da eski Conti fidye yazılımı çete üyelerinin eline geçmiştir.
Ağustos 2022'de Microsoft ayrıca, devlet destekli gruplardan siber suç çetelerine (APT29, FIN12, Bumblebee/Coldtrain) çok sayıda tehdit aktörünün artık Siber Güvenlik Firması Bishopfox'taki araştırmacılar tarafından saldırılarında geliştirilen GO tabanlı şeridi C2 çerçevesini kullandığını belirtti. Kobalt grevine alternatif olarak.
Kaynak: Bleeping Computer