Hotaktörer använder enligt uppgift ett nytt ramverk för kommando-och-kontroll (C2). Havoc, som är öppen källkod och erbjuder fantastisk webbaserad hantering av komprometterade enheter.
Bortsett från att ha alla vanliga funktioner, ses det här nya verktyget som ett bättre alternativ till de nuvarande alternativen på grund av dess ytterligare funktioner som sömnobfuskation, returadressstackspoofing och indirekta syscalls. Den kommer också med en Demon RATTA som standard för att låta hackare utföra mer skadliga operationer.
Ett bättre verktyg efter exploatering
Med vanliga verktyg som Cobalt Strike beacons som lätt kan upptäckas av antivirusprogram, går hackare över till nya alternativ – som Brute Ratel och Sliver. Men eftersom de är betalda och har testats utförligt av en rad hotaktörer, uppdateras säkerhetslösningarna för att fånga upp dem också.
Således flockas hotaktörer nu runt ett nytt C2-ramverk som kallas Förstörelse – som rapporterad av Zscaler ThreatLabz-forskarna. Teamet upptäckte en okänd hotgrupp som distribuerade detta kit efter exploatering i början av januari – i deras attack mot en okänd regeringsorganisation.
De har sett släppa den här skalkodsläsaren på de komprometterade systemen och inaktivera Event Tracing för Windows (ETW) – utan DOS- och NT-huvuden, vilket undviker upptäckt från båda. Också, konstaterar forskare detta ramverk distribuerades ibland genom ett skadligt npm-paket (Aabquerys) via typosquatting-tekniken.
Havoc ses dock som ett mycket mer genomförbart alternativ för hackare nu – med fler och fler hotaktörer som byter till detta C2-ramverk med öppen källkod som noterats under de senaste veckorna. Det sägs gå förbi Microsoft Defender på uppdaterade Windows 11-enheter genom tekniker som sömnobfuskation, returadressstack-spoofing och indirekta syscalls.
Dessutom skulle den komma med en fjärråtkomsttrojan som heter Demon.bin – förutom att stödja byggandet av andra skadliga agenter i form av Windows PE körbar, PE DLL och skalkod.
Med ett webbgränssnitt som visar upp alla komprometterade enheter tillåter detta nya ramverk hotaktörer att utföra olika moduler som att utföra kommandon, hantera processer, ladda ner ytterligare nyttolaster, manipulera Windows-tokens och exekvera skalkod.
