Кибергруппировки используют фреймворк Havoc для незаметных атак на компании
Кибергруппировки активизировали использование фреймворка Havoc для незаметных атак. Bi.Zone сообщает: 12% всех кибератак совершаются с использованием инструментов для тестирования на проникновение, а фишинг остаётся популярным методом доставки вредоносного ПО.
Чем реже инструмент применяется в атаках, тем выше вероятность для злоумышленников остаться незамеченными в скомпрометированной ИТ-инфраструктуре. В последние месяцы кибергруппировки чаще используют фреймворк Havoc, который реже встречается среди аналогичных инструментов и поэтому труднее обнаруживается современными средствами защиты информации. Об этом CNews сообщили представители Bi.Zone.
По данным Bi.Zone, около 12% всех кибератак осуществляется с использованием инструментов, первоначально предназначенных для тестирования на проникновение. С второй половины 2010-х годов решения для пентеста и red team активно применяются хакерами, однако в последнее время они стремятся заменить популярные инструменты на менее известные.
Так, за последние несколько месяцев значительно возросла популярность Havoc — фреймворка постэксплуатации с открытым исходным кодом. Этот инструмент изначально создан для того, чтобы в процессе пентеста получить доступ к системе и установить над ней контроль.
Олег Скулкин, руководитель Bi.Zone Threat Intelligence, заявил: «С июля 2024 г. мы выявили несколько кампаний, в которых злоумышленники использовали менее распространённый фреймворк Havoc для получения удалённого доступа к компьютерам жертв. Функциональные особенности Havoc принципиально не отличаются от других фреймворков, но так как он менее популярен, его сложнее обнаружить средствами защиты. Это и является его ключевым преимуществом для преступников. Во всех случаях наиболее вероятной целью атак был шпионаж, а подобные группировки стремятся оставаться в инфраструктуре компании незамеченными как можно дольше».
Для распространения вредоносной нагрузки злоумышленники использовали фишинговые атаки. В одном случае жертвам приходили письма с якобы медицинскими документами. Во вложении был архив с lnk-файлом. При открытии этого ярлыка на компьютер загружался отвлекающий документ — выписка из амбулаторной карты пациента, а также устанавливался загрузчик, который внедрял в устройство жертвы агент фреймворка Havoc. После этого злоумышленники получали доступ к скомпрометированной системе и выполняли на ней команды и выгружали данные.
В другой кампании преступники рассылали фишинговые письма от имени одной из силовых структур. Пользователям сообщалось, что они подозреваются в совершении серьёзного преступления, и предлагалось предоставить документы, список которых содержался в ссылке в теле письма. При переходе по ссылке на компьютер жертвы устанавливался загрузчик, а затем — агент Havoc.
Фишинговые рассылки остаются одним из самых популярных способов получения первичного доступа для киберпреступников. Причины в низкой себестоимости, широком покрытии и высокой эффективности такого метода. Для защиты корпоративной почты от фишинговых атак, но при этом не задерживая доставку легитимной почты, используются фильтрующие сервисы.
Эффективная защита от атак, включая те, в которых используют редкие и сложные для выявления инструменты, обеспечивается благодаря порталам киберразведки. Данные о ландшафте киберугроз помогают обеспечить надёжную работу средств защиты информации, ускорить реагирование на инциденты и защитить компанию от наиболее серьёзных угроз.