Фишинговая атака: эксплойт Havoc C2 и его модификации

Платформа Havoc command-and-control (C2) стала ключевым элементом в недавно выявленной фишинговой кампании, в рамках которой используется многоуровневое вредоносное ПО. Эта кампания является серьезной угрозой, так как позволяет злоумышленникам разрабатывать модифицированные версии агентов и обходить механизмы обнаружения.
Структура атаки
Атака начинается с рассылки электронного письма, содержащее HTML-вложение «Documents.html», имитирующего атаку ClickFix. В этом HTML-файле содержатся вводящие в заблуждение сообщения, которые побуждают пользователей выполнить вредоносную команду PowerShell.
Этапы исполнения вредоносного кода
- Скачивание и выполнение скрипта PowerShell.
- Проверка наличия pythonw.exe на целевой системе.
- Если pythonw.exe отсутствует, загрузка интерпретатора Python и удаленного скрипта Python с сайта SharePoint.
- Выполнение скрипта в скрытом окне для сокрытия активности.
Сложность анализа вредоносного ПО
Скрипт на Python служит как загрузчик шеллкода и содержит отладочную информацию на русском языке, что усложняет его анализ. Отдельное внимание стоит уделить отображению распределения памяти и процессов выполнения, которые запутывают исследователей.
Дополнительные инструменты атакующих
В рамках кампании используется еще один инструмент — KaynLdr. Этот инструмент также функционирует как загрузчик шеллкода и применяет хэширование API с помощью модифицированного алгоритма DJB2. Это делает анализ кода значительно более сложным.
Тактика взаимодействия с сервером C2
Модифицированная библиотека Havoc Demon начинает взаимодействие с сервером C2 посредством запроса на проверку, который передает важную информацию о жертве, включая:
- Имя хоста
- Имя пользователя
- Доменное имя
- IP-адрес
- Сведения об операционной системе
Все эти данные шифруются с использованием алгоритма AES-256 в режиме CTR. Связь с C2 осуществляется через специально выделенные файлы, что позволяет хакерам незаметно взаимодействовать со взломанной системой, маскируя свои действия в рамках доверенных служб, таких как Microsoft Graph API.
Заключение
Фишинговая кампания, использующая Havoc C2, подчеркивает постоянно развивающиеся угрозы в области кибербезопасности. Злоумышленники продолжают усовершенствоваться, используя сложные методы обхода механизмов защиты. Специалистам в области кибербезопасности важно оставаться на шаг впереди, анализируя такие атаки и развивая эффективные стратегии защиты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



