22 février 2023Ravie LakshmananCadre d’exploitation / Cybermenace

Cadre Havoc Pour La Post-Exploitation

Un cadre de commande et de contrôle (C2) open source connu sous le nom de Havoc est adopté par les acteurs de la menace comme alternative à d’autres boîtes à outils légitimes bien connues comme Cobalt Strike, Sliver et Brute Ratel.

La société de cybersécurité Zscaler a déclaré avoir observé une nouvelle campagne début janvier 2023 ciblant une organisation gouvernementale anonyme qui utilisait Ravage.

« Alors que les frameworks C2 sont prolifiques, le framework open source Havoc est un framework avancé de commande et de contrôle post-exploitation capable de contourner la version la plus récente et la plus mise à jour de Windows 11 defender grâce à la mise en œuvre de techniques d’évasion avancées telles que les appels système indirects. et l’obscurcissement du sommeil », les chercheurs Niraj Shivtarkar et Niraj Shivtarkar a dit.

La séquence d’attaque documentée par Zscaler commence par une archive ZIP qui intègre un document leurre et un fichier d’économiseur d’écran conçu pour télécharger et lancer l’agent Havoc Demon sur l’hôte infecté.

Publicité

Demon est l’implant généré via le framework Havoc et est analogue au Beacon fourni via Cobalt Strike pour obtenir un accès persistant et distribuer des charges utiles malveillantes.

Cadre Havoc Pour La Post-Exploitation

Il est également livré avec une grande variété de fonctionnalités qui le rendent difficile à détecter, ce qui en fait un outil lucratif entre les mains des acteurs de la menace, même si les fournisseurs de cybersécurité sont repoussant contre l’abus de ces logiciels légitimes de l’équipe rouge.

« Après le déploiement réussi du démon sur la machine cible, le serveur est capable d’exécuter diverses commandes sur le système cible », a déclaré Zscaler, ajoutant que le serveur enregistre la commande et sa réponse lors de l’exécution. Les résultats sont ensuite cryptés et retransmis au serveur C2.

Havoc a également été utilisé en relation avec un module npm frauduleux appelé aabquerys qui, une fois installé, déclenche un processus en trois étapes pour récupérer l’implant Demon. Le colis a depuis été retiré.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentLa technologie Smart String-level Disconnection (SSLD) de Huawei pour la sécurité des installations photovoltaïques est certifiée par DEKRA et Intertek
Article suivant‘Moonlight’ André Holland & Berlinale Series Award Interview du jury – Date limite
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici