.
Há uma nova estrutura de comando e controle (C2) de código aberto à solta, apelidada de Havoc, como uma alternativa ao popular Cobalt Strike e outras ferramentas legítimas, que foram abusadas para espalhar malware.
ReversingLabs escreveu sobre destruição no início deste mês em conexão com um pacote npm malicioso chamado Aabquerys, observando que foi criado por um desenvolvedor de malware chamado C5pider. Agora, pesquisadores da unidade de inteligência de ameaças ThreatLabz da Zscaler dizem que o Havoc está sendo usado em uma campanha visando uma organização governamental.
“Embora as estruturas C2 sejam prolíficas, a estrutura Havoc de código aberto é uma estrutura avançada de comando e controle pós-exploração capaz de contornar a versão mais atual e atualizada do Windows 11 Defender”, escreveram os pesquisadores do ThreatLabz em um relatório essa semana.
Também é difícil de detectar. A estrutura pós-exploração usa uma variedade de técnicas de evasão sofisticadas, incluindo syscalls indiretas, ofuscação do sono e falsificação de pilha de endereços de retorno, para evitar a detecção por ferramentas de infosec.
Os cibercriminosos usam servidores desonestos como sistemas C2 para se comunicar e enviar ordens para malware em computadores comprometidos. Nos últimos anos, ferramentas legítimas como o Cobalt Strike, usado por red teams corporativos para testar as defesas de segurança de uma organização, foram apropriadas por criminosos para ganhar persistência, mover-se lateralmente pela rede da vítima e executar cargas maliciosas.
Golpe de Cobalto e Brute Ratel estão entre os sistemas C2 mais populares, com NighthawkSilver e Covenant também são bem usados.
Os fornecedores de segurança cibernética estão tentando resistir ao uso malicioso dessas ferramentas, ou pelo menos pegá-los em flagrante. O grupo Unit 42 da Palo Alto Networks em dezembro de 2022 escreveu que os profissionais de segurança estão melhorando em detectando ataque de cobalto código de ataque.
Um mês antes, o Google lançado um conjunto de regras Yara de código aberto para ajudar as organizações a sinalizar e identificar componentes de várias versões do Cobalt Strike, acrescentando que “uma vez que muitos agentes de ameaças dependem de versões crackeadas do Cobalt Strike para avançar em seus ataques cibernéticos, esperamos que, interrompendo seu uso, possamos ajudam a proteger as organizações, seus funcionários e seus clientes em todo o mundo.”
No caso mais recente, o ThreatLabz no início de janeiro de 2023 detectou no Zscaler Cloud um executável chamado “pix.exe” que foi baixado de um servidor remoto e destinado à organização governamental não identificada. O objetivo final do código é entregar a carga útil do Havoc Demon.
O relatório da ReversingLabs descreveu o Havoc Demon como um malware com recursos de trojan de acesso remoto (RAT), gerado pela estrutura Havoc.
De acordo com o ThreatLabz, o shellcode loader do Havoc Demon desativa o recurso Event Tracing for Windows usado para rastrear e registrar eventos – um movimento para evitar a detecção – e descriptografa e executa o shellcode por meio da função CreateThreadpoolWait da Microsoft.
Em outro movimento evasivo, Havoc’s Demon DLL é carregado sem os cabeçalhos DOS e NT. A carga útil usa um algoritmo de hash DJB2 modificado para resolver endereços virtuais de diferentes APIs NT. Os invasores também usam a imagem de “Zero Two” – um personagem de uma série de TV de anime japonesa – para ocultar a execução e as atividades da carga útil do Havoc Demon em segundo plano.
“Depois que o demônio é implantado com sucesso na máquina do alvo, o servidor é capaz de executar vários comandos no sistema de destino”, escreveram os pesquisadores.
A lista de comandos inclui download, upload, cópia ou remoção de arquivos, exibição do conteúdo de um arquivo, criação de um novo diretório ou recuperação de um atual, captura de tela, limpeza e saída do sistema. O servidor C2 gerencia tudo isso por meio de um console baseado na web.
Os pesquisadores do ThreatLabz conseguiram reunir algumas informações sobre os invasores analisando sua infraestrutura e aproveitando os erros de segurança operacional para obter capturas de tela de sua máquina C2 por meio do que chamaram de “autocomprometimento”.
Ao executar a análise de infraestrutura, os pesquisadores encontraram um diretório aberto em um servidor que incluía várias cargas úteis de demônios e Metasploit, bem comStrong The Ones internos e capturas de tela. Incluído no diretório estava um arquivo HTML que mostrava uma captura de tela da máquina dos invasores.
Eles também determinaram que o IP dos criminosos estava localizado em Nova York. ®
.
