Хакеры выбирают редкие инструменты пентеста вместо вредоносных программ

Чем реже инструмент используется в атаках, тем больше у злоумышленников шансов остаться незамеченными в скомпрометированной IT‑инфраструктуре

1 октября 2024 г.

В последние несколько месяцев кибергруппировки стали чаще использовать фреймворк Havoc: он применяется реже аналогичных инструментов, и поэтому его сложнее выявить современными средствами защиты информации.

По нашим данным, 12% всех кибератак злоумышленники совершают с применением инструментов, изначально предназначенных для тестирования на проникновение. Решения для пентеста и red team хакеры стали включать в арсенал еще со второй половины 2010‑х, однако в последнее время преступники стремятся заменить популярные инструменты на менее известные.

Так, в последние несколько месяцев выросла популярность Havoc — фреймворка постэксплуатации с открытым исходным кодом. Изначально этот инструмент предназначен для того, чтобы получить доступ к системе в рамках пентеста и установить над ней контроль.

С июля 2024 года мы выявили сразу несколько кампаний, в ходе которых злоумышленники применяли менее распространенный фреймворк Havoc, чтобы получить удаленный доступ к компьютерам жертв. Функциональные особенности Havoc принципиально не отличаются от других фреймворков. Этот инструмент менее популярен, чем другие, а потому его сложнее обнаружить средствами защиты. В этом и заключается его ключевое преимущество для преступников. Во всех случаях наиболее вероятной целью атак был шпионаж, а такие группировки стремятся оставаться в инфраструктуре компании незамеченными как можно дольше.

Олег Скулкин

Руководитель BI.ZONE Threat Intelligence

Для распространения вредоносной нагрузки фреймворка злоумышленники использовали фишинг. В одном случае жертвам приходили письма с якобы медицинскими документами. Во вложении был архив, в котором содержался lnk‑файл. Если пользователь открывал этот ярлык, на его компьютер загружался отвлекающий документ — выписка из амбулаторной карты пациента, а также устанавливался загрузчик — программа, которая затем внедряла в устройство жертвы агент фреймворка Havoc. После этого злоумышленники получали доступ к скомпрометированной системе и могли удаленно выполнять в ней команды и выгружать данные.

В другой кампании преступники рассылали фишинговые письма от лица одной из силовых структур. Пользователя уведомляли о том, что он якобы подозревается в совершении серьезного преступления, и просили предоставить документы, список которых предлагали скачать по ссылке в теле письма. На самом деле при переходе по ссылке на компьютер жертвы, как и в предыдущем случае, устанавливался загрузчик, а вслед за ним — агент.

Фишинговые рассылки по‑прежнему остаются у киберпреступников одним из самых популярных способов получения первичного доступа. Причина кроется в их низкой себестоимости, широте покрытия и высокой эффективности. Чтобы защитить корпоративную почту от фишинговых рассылок, но при этом не задерживать доставку легитимной почты, используются сервисы для фильтрации нежелательных писем, например BI.ZONE CESP.

Выстроить эффективную защиту от атак, в том числе таких, в которых применяются редкие и сложные для выявления инструменты, помогают порталы киберразведки, например BI.ZONE Threat Intelligence. Получаемые из них данные о ландшафте киберугроз позволяют обеспечить эффективную работу средств защиты информации, ускорить реагирование на инциденты и защититься от наиболее серьезных для компании угроз.