Outil Post-Exploitation Nighthawk

Un cadre de test de pénétration naissant et légitime connu sous le nom de Engoulevent est susceptible d’attirer l’attention des acteurs de la menace pour ses capacités de type Cobalt Strike.

La société de sécurité d’entreprise Proofpoint a déclaré avoir détecté l’utilisation du logiciel à la mi-septembre 2022 avec un certain nombre d’e-mails de test envoyés en utilisant des lignes d’objet génériques telles que « Just check in » et « Hope this works2 ».

Cependant, rien n’indique qu’une version divulguée ou fissurée de Nighthawk soit militarisée par des acteurs de la menace dans la nature, a déclaré le chercheur de Proofpoint, Alexander Rausch. a dit dans un écrit.

Nighthawk, lancé en décembre 2021 par une société appelée MDSec, est analogue à ses homologues Cobalt Strike, Sliver et Brute Ratel, offrant un ensemble d’outils d’équipe rouge pour la simulation de menaces adverses. Il est sous licence pour 7 500 £ (ou 10 000 $) par utilisateur pendant un an.

« Nighthawk est le cadre de commande et de contrôle le plus avancé et le plus évasif disponible sur le marché », MDSec Remarques. « Nighthawk est un implant hautement malléable conçu pour contourner et échapper aux contrôles de sécurité modernes souvent observés dans des environnements matures et hautement surveillés. »

Publicité

Selon la société basée à Sunnyvale, les e-mails susmentionnés contenaient des URL piégées qui, une fois cliquées, redirigeaient les destinataires vers un fichier image ISO contenant le chargeur Nighthawk.

Le chargeur obfusqué est livré avec la charge utile Nighthawk cryptée, une DLL basée sur C++ qui utilise un ensemble élaboré de fonctionnalités pour contrer la détection et voler sous le radar.

Il convient de noter en particulier les mécanismes qui peuvent empêcher les solutions de détection des terminaux d’être alertées des DLL nouvellement chargées dans le processus en cours et d’éviter les analyses de mémoire du processus en implémentant un mode d’auto-cryptage.

Avec des acteurs voyous tirant déjà parti des versions crackées de Cobalt Strike et d’autres pour poursuivre leurs activités de post-exploitation, Nighthawk pourrait également assister à une adoption similaire par des groupes cherchant à « diversifier leurs méthodes et ajouter un cadre relativement inconnu à leur arsenal ».

En effet, les taux de détection élevés associés à Cobalt Strike et Sliver ont conduit les acteurs criminels chinois à concevoir des cadres offensifs alternatifs comme Manjusaka et Alchimist ces derniers mois.

« Nighthawk est un cadre C2 commercial mature et avancé pour les opérations légales de l’équipe rouge, spécialement conçu pour l’évasion de la détection, et il le fait bien », a déclaré Rausch.

« L’adoption historique d’outils comme Brute Ratel par des adversaires avancés, y compris ceux alignés sur les intérêts de l’État et se livrant à l’espionnage, fournit un modèle pour d’éventuels développements futurs du paysage des menaces. »


Rate this post
Publicité
Article précédentSony et Honda envisagent d’ajouter une PlayStation 5 à l’intérieur des voitures autonomes
Article suivantCes 7 gadgets incontournables sont à leur prix le plus bas jamais enregistré pour le Black Friday
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici