Hacker

セキュリティ研究者は、攻撃者が、Cobalt Strike や Brute Ratel などの有料オプションの代替として、Havoc として知られる新しいオープンソースのコマンド アンド コントロール (C2) フレームワークに切り替えていることを確認しています。

その最も興味深い機能の中で、 Havocはクロスプラットフォームであり、スリープ難読化、リターン アドレス スタック スプーフィング、および間接的なシステム コールを使用して、最新の Windows 11 デバイスで Microsoft Defender をバイパスします。

他のエクスプロイト キットと同様に、Havoc には多種多様なモジュールが含まれており、ペン テスター (およびハッカー) は、コマンドの実行、プロセスの管理、追加のペイロードのダウンロード、Windows トークンの操作、シェルコードの実行など、エクスプロイトされたデバイスでさまざまなタスクを実行できます。

これはすべて Web ベースの管理コンソールを介して行われるため、「攻撃者」は侵害されたすべてのデバイス、イベント、およびタスクからの出力を確認できます。

Havoc ユーザー インターフェイス
Havoc ユーザー インターフェイス ( C5pider )

攻撃で乱用される大混乱

未知の脅威グループは、1 月初旬に、非公開の政府機関を標的とした攻撃キャンペーンの一環として、このエクスプロイト後のキットを展開しました。

実際にそれを発見した Zscaler ThreatLabz 研究チームが観察したように、侵害されたシステムにドロップされたシェルコード ローダーは、Windows のイベント トレーシング (ETW) を無効にし、最終的な Havoc Demon ペイロードは DOS および NT ヘッダーなしで読み込まれ、検出を回避します。 .

フレームワークは、悪意のある npm パッケージ (Aabquerys) タイポスクワッティングの正当なモジュールを介して展開されたことも、今月初めに ReversingLabs の研究チームからのレポートで明らかになりました

「Demon.bin は、Havoc という名前のオープン ソースのポストエクスプロイト コマンド アンド コントロール フレームワークを使用して生成された、典型的な RAT (リモート アクセス トロイの木馬) 機能を備えた悪意のあるエージェントです」と、ReversingLabs の脅威研究者である Lucija Valentić 氏は述べています。

「Windows PE 実行可能ファイル、PE DLL、シェルコードなど、複数の形式での悪意のあるエージェントの構築をサポートしています。」

ハボックコマンド一覧
Havoc コマンド一覧 (Zscaler)

実際に展開されたより多くの Cobalt Strike の代替品

Cobalt Strike は、被害者の侵害されたネットワークに「ビーコン」を投下して後で移動し、追加の悪意のあるペイロードを配信するために、さまざまな攻撃者が使用する最も一般的なツールになっていますが、一部の攻撃者は最近、防御側が得た代替手段を探し始めています。攻撃の検出と阻止に優れています。

以前に報告されたように、ウイルス対策およびエンドポイントの検出と対応 (EDR) ソリューションを回避するのに役立つその他のオプションには、Brute Ratel と Sliver が含まれます。

これら 2 つの C2 フレームワークは、金銭目的のサイバー犯罪集団から国家支援のハッキング グループまで、さまざまな脅威グループによってすでにフィールド テストされています。

Mandiant と CrowdStrike の元レッド チームである Chetan Nayak が開発したエクスプロイト後のツールキットである Brute Ratel は、ロシアが支援するハッキング グループ APT29 (別名 CozyBear) との関連が疑われる攻撃に使用されています。同時に、一部の Brute Ratel ライセンスも元 Conti ランサムウェア ギャング メンバーの手に渡った可能性があります。

2022 年 8 月、Microsoft は、国家が支援するグループからサイバー犯罪集団 (APT29、FIN12、Bumblebee/Coldtrain) に至るまで、複数の攻撃者が現在、サイバーセキュリティ会社 BishopFox の研究者によって開発された Go ベースの Sliver C2 フレームワークを攻撃に使用していることにも言及しました。 Cobalt Strike の代替として。