Кибергруппировки используют фреймворк Havoc для незаметных атак на компании

Кибергруппировки активизировали использование фреймворка Havoc для незаметных атак. Bi.Zone сообщает: 12% всех кибератак совершаются с использованием инструментов для тестирования на проникновение, а фишинг остаётся популярным методом доставки вредоносного ПО.

Чем реже инструмент применяется в атаках, тем выше вероятность для злоумышленников остаться незамеченными в скомпрометированной ИТ-инфраструктуре.

В последние месяцы кибергруппировки чаще используют фреймворк Havoc, который реже встречается среди аналогичных инструментов и поэтому труднее обнаруживается современными средствами защиты информации. Об этом CNews сообщили представители Bi.Zone.

По данным Bi.Zone, около 12% всех кибератак осуществляется с использованием инструментов, первоначально предназначенных для тестирования на проникновение. С второй половины 2010-х годов решения для пентеста и red team активно применяются хакерами, однако в последнее время они стремятся заменить популярные инструменты на менее известные.

Так, за последние несколько месяцев значительно возросла популярность Havoc — фреймворка постэксплуатации с открытым исходным кодом. Этот инструмент изначально создан для того, чтобы в процессе пентеста получить доступ к системе и установить над ней контроль.

Олег Скулкин, руководитель Bi.Zone Threat Intelligence, заявил: «С июля 2024 г. мы выявили несколько кампаний, в которых злоумышленники использовали менее распространённый фреймворк Havoc для получения удалённого доступа к компьютерам жертв. Функциональные особенности Havoc принципиально не отличаются от других фреймворков, но так как он менее популярен, его сложнее обнаружить средствами защиты.

Это и является его ключевым преимуществом для преступников. Во всех случаях наиболее вероятной целью атак был шпионаж, а подобные группировки стремятся оставаться в инфраструктуре компании незамеченными как можно дольше».

Для распространения вредоносной нагрузки злоумышленники использовали фишинговые атаки. В одном случае жертвам приходили письма с якобы медицинскими документами. Во вложении был архив с lnk-файлом. При открытии этого ярлыка на компьютер загружался отвлекающий документ — выписка из амбулаторной карты пациента, а также устанавливался загрузчик, который внедрял в устройство жертвы агент фреймворка Havoc. После этого злоумышленники получали доступ к скомпрометированной системе и выполняли на ней команды и выгружали данные.

В другой кампании преступники рассылали фишинговые письма от имени одной из силовых структур. Пользователям сообщалось, что они подозреваются в совершении серьёзного преступления, и предлагалось предоставить документы, список которых содержался в ссылке в теле письма. При переходе по ссылке на компьютер жертвы устанавливался загрузчик, а затем — агент Havoc.

Фишинговые рассылки остаются одним из самых популярных способов получения первичного доступа для киберпреступников. Причины в низкой себестоимости, широком покрытии и высокой эффективности такого метода. Для защиты корпоративной почты от фишинговых атак, но при этом не задерживая доставку легитимной почты, используются фильтрующие сервисы.

Эффективная защита от атак, включая те, в которых используют редкие и сложные для выявления инструменты, обеспечивается благодаря порталам киберразведки. Данные о ландшафте киберугроз помогают обеспечить надёжную работу средств защиты информации, ускорить реагирование на инциденты и защитить компанию от наиболее серьёзных угроз.