Un cadre de test de pénétration naissant et légitime connu sous le nom de Engoulevent est susceptible d’attirer l’attention des acteurs de la menace pour ses capacités de type Cobalt Strike.
La société de sécurité d’entreprise Proofpoint a déclaré avoir détecté l’utilisation du logiciel à la mi-septembre 2022 avec un certain nombre d’e-mails de test envoyés en utilisant des lignes d’objet génériques telles que « Just check in » et « Hope this works2 ».
Cependant, rien n’indique qu’une version divulguée ou fissurée de Nighthawk soit militarisée par des acteurs de la menace dans la nature, a déclaré le chercheur de Proofpoint, Alexander Rausch. a dit dans un écrit.
Nighthawk, lancé en décembre 2021 par une société appelée MDSec, est analogue à ses homologues Cobalt Strike, Sliver et Brute Ratel, offrant un ensemble d’outils d’équipe rouge pour la simulation de menaces adverses. Il est sous licence pour 7 500 £ (ou 10 000 $) par utilisateur pendant un an.
« Nighthawk est le cadre de commande et de contrôle le plus avancé et le plus évasif disponible sur le marché », MDSec Remarques. « Nighthawk est un implant hautement malléable conçu pour contourner et échapper aux contrôles de sécurité modernes souvent observés dans des environnements matures et hautement surveillés. »
Selon la société basée à Sunnyvale, les e-mails susmentionnés contenaient des URL piégées qui, une fois cliquées, redirigeaient les destinataires vers un fichier image ISO contenant le chargeur Nighthawk.
Le chargeur obfusqué est livré avec la charge utile Nighthawk cryptée, une DLL basée sur C++ qui utilise un ensemble élaboré de fonctionnalités pour contrer la détection et voler sous le radar.
Il convient de noter en particulier les mécanismes qui peuvent empêcher les solutions de détection des terminaux d’être alertées des DLL nouvellement chargées dans le processus en cours et d’éviter les analyses de mémoire du processus en implémentant un mode d’auto-cryptage.
Avec des acteurs voyous tirant déjà parti des versions crackées de Cobalt Strike et d’autres pour poursuivre leurs activités de post-exploitation, Nighthawk pourrait également assister à une adoption similaire par des groupes cherchant à « diversifier leurs méthodes et ajouter un cadre relativement inconnu à leur arsenal ».
En effet, les taux de détection élevés associés à Cobalt Strike et Sliver ont conduit les acteurs criminels chinois à concevoir des cadres offensifs alternatifs comme Manjusaka et Alchimist ces derniers mois.
« Nighthawk est un cadre C2 commercial mature et avancé pour les opérations légales de l’équipe rouge, spécialement conçu pour l’évasion de la détection, et il le fait bien », a déclaré Rausch.
« L’adoption historique d’outils comme Brute Ratel par des adversaires avancés, y compris ceux alignés sur les intérêts de l’État et se livrant à l’espionnage, fournit un modèle pour d’éventuels développements futurs du paysage des menaces. »