Peneliti keamanan melihat pelaku ancaman beralih ke kerangka perintah dan kontrol (C2) sumber terbuka dan baru yang dikenal sebagai Havoc sebagai alternatif untuk opsi berbayar seperti Cobalt Strike dan Brute Ratel.
Di antara kemampuannya yang paling menarik, Malapetaka adalah lintas platform dan melewati Microsoft Defender pada perangkat Windows 11 terbaru menggunakan sleep obfuscation, return address stack spoofing, dan syscalls tidak langsung.
Seperti kit eksploitasi lainnya, Havoc menyertakan beragam modul yang memungkinkan penguji pena (dan peretas) melakukan berbagai tugas pada perangkat yang dieksploitasi, termasuk menjalankan perintah, mengelola proses, mengunduh muatan tambahan, memanipulasi token Windows, dan menjalankan kode shell.
Semua ini dilakukan melalui konsol manajemen berbasis web, yang memungkinkan “penyerang” untuk melihat semua perangkat, acara, dan output yang disusupi dari tugas.
Malapetaka disalahgunakan dalam serangan
Kelompok ancaman yang tidak dikenal baru-baru ini menyebarkan kit pasca-eksploitasi ini pada awal Januari sebagai bagian dari kampanye serangan yang menargetkan organisasi pemerintah yang dirahasiakan.
Sebagai tim riset Zscaler ThreatLabz yang melihatnya di alam liar diamatipemuat kode shell yang dijatuhkan pada sistem yang disusupi akan menonaktifkan Pelacakan Peristiwa untuk Windows (ETW) dan muatan akhir Havoc Demon dimuat tanpa header DOS dan NT, keduanya untuk menghindari deteksi.
Kerangka kerja ini juga disebarkan melalui modul sah pengetikan paket npm berbahaya (Aabquerys), seperti terungkap dalam laporan dari tim riset ReversingLabs awal bulan ini.
“Demon.bin adalah agen jahat dengan fungsi khas RAT (remote access trojan) yang dihasilkan menggunakan open source, pasca-eksploitasi, kerangka perintah dan kontrol bernama Havoc,” kata peneliti ancaman ReversingLabs, Lucija Valentić.
“Ini mendukung pembuatan agen jahat dalam beberapa format termasuk Windows PE yang dapat dieksekusi, PE DLL, dan kode shell.”
Lebih banyak alternatif Cobalt Strike yang digunakan di alam liar
Sementara Serangan Kobalt telah menjadi alat paling umum yang digunakan oleh berbagai pelaku ancaman untuk menjatuhkan “suar” pada jaringan korban mereka yang dilanggar untuk pergerakan selanjutnya dan pengiriman muatan jahat tambahan, beberapa dari mereka juga baru-baru ini mulai mencari alternatif karena para pembela HAM menjadi lebih baik dalam mendeteksi dan menghentikan serangan mereka.
Seperti yang dilaporkan BleepingComputer sebelumnya, opsi lain yang membantu mereka menghindari solusi antivirus dan Endpoint Detection and Response (EDR) termasuk Brute Ratel dan Sliver.
Kedua kerangka kerja C2 ini telah diuji lapangan oleh berbagai kelompok ancaman, mulai dari geng kejahatan dunia maya yang bermotivasi finansial hingga kelompok peretasan yang didukung negara.
Brute Ratel, toolkit pasca-eksploitasi yang dikembangkan oleh mantan anggota tim merah Mandiant dan CrowdStrike Chetan Nayak, telah digunakan dalam serangan diduga terkait dengan grup peretasan yang disponsori Rusia APT29 (alias CozyBear). Pada saat yang sama, beberapa lisensi Brute Ratel kemungkinan besar juga jatuh ke tangan mantan anggota geng ransomware Conti.
Pada Agustus 2022, Microsoft juga mencatat bahwa banyak pelaku ancaman, mulai dari kelompok yang disponsori negara hingga geng kejahatan dunia maya (APT29, FIN12, Bumblebee/Coldtrain), sekarang menggunakan kerangka kerja Sliver C2 berbasis Go dikembangkan oleh para peneliti di perusahaan cybersecurity BishopFox dalam serangan mereka sebagai alternatif dari Cobalt Strike.
