Aggiornamenti recenti Febbraio 6th, 2025 4:39 PM
Feb 16, 2023 Dario Orlandi Keylogger, Malware, Minacce, Minacce, News, RSS, Trojan 0
Diversi i ricercatori di sicurezza hanno iniziato a rilevare l’uso sempre più frequente di un nuovo framework open source di comando e controllo chiamato Havoc da parte della criminalità informatica, come alternativa a prodotti commerciali come Cobalt Strike
Havoc offre molte funzioni interessanti, tra cui la capacità di lavorare su più piattaforme e di evitare la rilevazione di Microsoft Defender su dispositivi Windows 11 aggiornati.
La dashboard di Havoc
Il kit di Havoc contiene una vasta gamma di moduli che consentono agli attaccanti di eseguire varie attività sui dispositivi compromessi, tra cui l’esecuzione di comandi, la gestione dei processi e il download di payload aggiuntivi.
Tutte queste attività possono essere controllate attraverso una console di gestione basata sul web, che fornisce una visione completa dei dispositivi, degli eventi e dell’output.
Un gruppo sconosciuto ha usato Havoc all’inizio di gennaio in un attacco contro un’organizzazione governativa di cui non è stata resa nota l’identità, in un’azione individuata dal team di ricerca Zscaler ThreatLabz.
Il loader rilasciato sui sistemi compromessi disabilita l’Event Tracing for Windows (ETW) e il payload finale Havoc Demon viene caricato senza le intestazioni DOS e NT, per evitare il rilevamento.
Il framework è stato distribuito anche tramite un pacchetto npm dannoso che utilizza il typosquatting di un modulo legittimo (Aabquerys), come rilevato dal team di ricerca di ReversingLabs.
Lucija Valentić, ricercatrice di ReversingLabs, ha commentato: “Demon.bin è un agente dannoso con funzionalità tipiche RAT (trojan di accesso remoto) che è stato generato utilizzando un framework open source C&C post compromissione chiamato Havoc. Questo tool consente la creazione di agenti dannosi in diversi formati, tra cui eseguibile di Windows PE, DLL PE e shellcode”.
Lucija Valentić, ricercatrice di ReversingLabs
Cobalt Strike è stato a lungo lo strumento preferito da molti attori delle minacce per rilasciare beacon sulle reti delle vittime e inviare ulteriori payload.
A causa dell’aumento della capacità di rilevazione dei difensori, molti attaccanti stanno cercando alternative, come Brute Ratel e Sliver, che aiutano ad eludere le soluzioni antivirus e di EDR.
Brute Ratel
Brute Ratel è stato utilizzato in attacchi sospettati di essere legati al gruppo sponsorizzato dalla Russia APT29, ma alcune delle sue licenze sono finite nelle mani degli ex membri del gruppo ransomware Conti.
Sliver è un framework C2 basato su Go sviluppato dai ricercatori della società di sicurezza informatica BishopFox, che è stato utilizzato come alternativa a Cobalt Strike da vari attori delle minacce, dai gruppi state-sponsored alle bande di criminali informatici.
Nov 28, 2024 0
Ago 06, 2024 0
Giu 26, 2024 0
Giu 24, 2024 0
Feb 06, 2025 0
Feb 05, 2025 0
Feb 04, 2025 0
Feb 03, 2025 0
Gen 30, 2025 0
Quando si parla di dati e di privacy, gli utenti si dicono...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Gen 15, 2025 0
Gli ultimi giorni dell’anno sono da sempre...Gen 08, 2025 0
Se finora l’FBI e il governo degli Stati Uniti ha...Gen 02, 2025 0
Oggi le aziende italiane non solo devono affrontare nuove e...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Feb 06, 2025 0
Silent Lynx, un gruppo APT di origine kazaka, è tornato...Feb 05, 2025 0
Il team di Threat Hunting della Zero Day Initiative di...Feb 04, 2025 0
Sophos ha completato l’acquisizione di Secureworks,...Feb 03, 2025 0
Meta ha annunciato di aver smantellato una campagna di...Feb 03, 2025 0
Questa settimana, il CERT-AGID ha identificato e analizzato...