Хакеры отказываются от вредоносных программ в пользу редких инструментов для пентеста
Чем реже инструмент используется в атаках, тем больше у злоумышленников шансов остаться незамеченными в скомпрометированной ИТ-инфраструктуре. В последние несколько месяцев кибергруппировки стали чаще использовать фреймворк Havoc: он применяется реже аналогичных инструментов, и поэтому его сложнее выявить современными средствами защиты информации.
По данным BI.ZONE, 12% всех кибератак злоумышленники совершают с применением инструментов, изначально предназначенных для тестирования на проникновение. Решения для пентеста и red team хакеры стали включать в арсенал еще со второй половины 2010-х, однако в последнее время преступники стремятся заменить популярные инструменты на менее известные.
Так, в последние несколько месяцев выросла популярность Havoc — фреймворка постэксплуатации с открытым исходным кодом. Изначально этот инструмент предназначен для того, чтобы получить доступ к системе в рамках пентеста и установить над ней контроль.
Олег Скулкин, руководитель BI.ZONE Threat Intelligence:
С июля 2024 года мы выявили сразу несколько кампаний, в ходе которых злоумышленники применяли менее распространенный фреймворк Havoc, чтобы получить удаленный доступ к компьютерам жертв. Функциональные особенности Havoc принципиально не отличаются от других фреймворков. Этот инструмент менее популярен, чем другие, а потому его сложнее обнаружить средствами защиты. В этом и заключается его ключевое преимущество для преступников. Во всех случаях наиболее вероятной целью атак был шпионаж, а такие группировки стремятся оставаться в инфраструктуре компании незамеченными как можно дольше.
Для распространения вредоносной нагрузки фреймворка злоумышленники использовали фишинг. В одном случае жертвам приходили письма с якобы медицинскими документами. Во вложении был архив, в котором содержался lnk-файл. Если пользователь открывал этот ярлык, на его компьютер загружался отвлекающий документ — выписка из амбулаторной карты пациента, а также устанавливался загрузчик — программа, которая затем внедряла в устройство жертвы агент фреймворка Havoc. После этого злоумышленники получали доступ к скомпрометированной системе и могли удаленно выполнять в ней команды и выгружать данные.
В другой кампании преступники рассылали фишинговые письма от лица одной из силовых структур. Пользователя уведомляли о том, что он якобы подозревается в совершении серьезного преступления, и просили предоставить документы, список которых предлагали скачать по ссылке в теле письма. На самом деле при переходе по ссылке на компьютер жертвы, как и в предыдущем случае, устанавливался загрузчик, а вслед за этим — агент.
Фишинговые рассылки по-прежнему остаются у киберпреступников одним из самых популярных способов получения первичного доступа. Причина в их низкой себестоимости, широте покрытия и высокой эффективности. Чтобы защитить корпоративную почту от фишинговых рассылок, но при этом не задерживать доставку легитимной почты, используются сервисы для фильтрации нежелательных писем, например BI.ZONE CESP.
Дмитрий Кузеванов, CISO, руководитель центра мониторинга и реагирования UserGate прокомментировал: "Многие системы мониторинга ИБ, как правило, включают наиболее распространенные механизмы и инструменты атак, которые используют злоумышленники. На этом фоне использование атакующими менее популярных и известных ("засвеченных") инструментов, чтобы как можно дольше оставаться незамеченными, выглядит вполне логично.
В качестве мер, которые могут снизить риски атак с помощью "непопулярных" инструментов – использование систем, обеспечивающих максимальную видимость событий в сети и продвинутого мониторинга в составе собственного или коммерческого SOC".