Киберпреступники находят новые инструменты, чтобы быть на шаг впереди ИБ-специалистов.
Исследователи безопасности Zscaler ThreatLabz Для просмотра ссылки Войди
Среди наиболее интересных возможностей Для просмотра ссылки Войди
Как и другие комплекты для эксплуатации, Havoc включает в себя широкий спектр модулей, позволяющих пентестерам и хакерам выполнять различные задачи на эксплуатируемых устройствах, включая:
- выполнение команд;
- управление процессами;
- загрузку дополнительных полезных данных;
- манипулирование токенами Windows;
- выполнение Для просмотра ссылки Войди
или Зарегистрируйся .
Все это делается через панель управления, позволяющую видеть все скомпрометированные устройства, события и выходные данные задач.
Интерфейс веб-панели Havoc Недавно в начале января неизвестная группа угроз применила этот набор для пост-эксплуатации в рамках кампании, направленной против неназванной правительственной организации.
Исследовательская группа Zscaler ThreatLabz заметила, что загрузчик шелл-кода, сброшенный на скомпрометированные системы, отключает отслеживание событий для Windows (ETW), а окончательная полезная нагрузка Havoc Demon загружается без заголовков «DOS» и «NT», чтобы избежать обнаружения.
Фреймворк также был развернут с помощью вредоносного npm-пакета «Aabquerys», в названии которого применён метод тайпсквоттинга (Typosquatting) для имитации легитимного модуля.
«Demon.bin — это вредоносный агент с типичными функциями RAT-трояна, который сгенерирован с использованием Havoc. Он поддерживает создание вредоносных агентов в нескольких форматах, включая исполняемый файл Windows PE, PE DLL и шелл-код.
Список команд Havoc Cobalt Strike стал наиболее распространенным инструментом хакеров для доставки дополнительных полезных нагрузок, но некоторые киберпреступники начали искать альтернативы этому инструменту, поскольку защитники научились эффективнее обнаруживать и предотвращать атаки.
Одним из альтернативных вариантов Для просмотра ссылки Войди
Ещё одна бесплатная замена Cobalt Strike, которая Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru