Фишинговая атака: эксплойт Havoc C2 и его модификации

Фишинговая атака: эксплойт Havoc C2 и его модификации

Платформа Havoc command-and-control (C2) стала ключевым элементом в недавно выявленной фишинговой кампании, в рамках которой используется многоуровневое вредоносное ПО. Эта кампания является серьезной угрозой, так как позволяет злоумышленникам разрабатывать модифицированные версии агентов и обходить механизмы обнаружения.

Структура атаки

Атака начинается с рассылки электронного письма, содержащее HTML-вложение «Documents.html», имитирующего атаку ClickFix. В этом HTML-файле содержатся вводящие в заблуждение сообщения, которые побуждают пользователей выполнить вредоносную команду PowerShell.

Этапы исполнения вредоносного кода

  • Скачивание и выполнение скрипта PowerShell.
  • Проверка наличия pythonw.exe на целевой системе.
  • Если pythonw.exe отсутствует, загрузка интерпретатора Python и удаленного скрипта Python с сайта SharePoint.
  • Выполнение скрипта в скрытом окне для сокрытия активности.

Сложность анализа вредоносного ПО

Скрипт на Python служит как загрузчик шеллкода и содержит отладочную информацию на русском языке, что усложняет его анализ. Отдельное внимание стоит уделить отображению распределения памяти и процессов выполнения, которые запутывают исследователей.

Дополнительные инструменты атакующих

В рамках кампании используется еще один инструмент — KaynLdr. Этот инструмент также функционирует как загрузчик шеллкода и применяет хэширование API с помощью модифицированного алгоритма DJB2. Это делает анализ кода значительно более сложным.

Тактика взаимодействия с сервером C2

Модифицированная библиотека Havoc Demon начинает взаимодействие с сервером C2 посредством запроса на проверку, который передает важную информацию о жертве, включая:

  • Имя хоста
  • Имя пользователя
  • Доменное имя
  • IP-адрес
  • Сведения об операционной системе

Все эти данные шифруются с использованием алгоритма AES-256 в режиме CTR. Связь с C2 осуществляется через специально выделенные файлы, что позволяет хакерам незаметно взаимодействовать со взломанной системой, маскируя свои действия в рамках доверенных служб, таких как Microsoft Graph API.

Заключение

Фишинговая кампания, использующая Havoc C2, подчеркивает постоянно развивающиеся угрозы в области кибербезопасности. Злоумышленники продолжают усовершенствоваться, используя сложные методы обхода механизмов защиты. Специалистам в области кибербезопасности важно оставаться на шаг впереди, анализируя такие атаки и развивая эффективные стратегии защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: