BI.ZONE: хакеры отказываются от вредоносных программ в пользу редких инструментов для пентеста

В последние несколько месяцев кибергруппировки стали чаще использовать фреймворк Havoc. Этот инструмент применяется реже аналогичных, и поэтому его сложнее выявить современными средствами защиты информации. По данным компании BI.ZONE, 12% всех кибератак злоумышленники совершают с применением инструментов, изначально предназначенных для тестирования на проникновение. Решения для пентеста и red team хакеры стали включать в арсенал ещё со второй половины 2010 годов, однако в последнее время преступники стремятся заменить популярные инструменты на менее известные.

В последние несколько месяцев выросла популярность Havoc — фреймворка для постэксплуатации с открытым исходным кодом. Изначально этот инструмент предназначен для того, чтобы получить доступ к системе в рамках пентеста и установить над ней контроль.

Руководитель BI.ZONE Threat Intelligence Олег Скулкин рассказал о нескольких кампаниях, в ходе которых злоумышленники применяли менее распространённый фреймворк Havoc, чтобы получить удалённый доступ к компьютерам жертв. Havoc принципиально не отличаются от других фреймворков. Этот инструмент менее популярен, чем другие, а потому его сложнее обнаружить средствами защиты. В этом и заключается его ключевое преимущество для преступников. Во всех случаях наиболее вероятной целью атак был шпионаж, а такие группировки стремятся оставаться в инфраструктуре компании незамеченными как можно дольше. Для распространения вредоносной нагрузки фреймворка злоумышленники использовали фишинг.

В одном случае жертвам приходили письма с якобы медицинскими документами. Во вложении был архив, в котором содержался lnk‑файл. Если пользователь открывал этот ярлык, на его компьютер загружался отвлекающий документ — выписка из амбулаторной карты