Aggiornamenti recenti Agosto 21st, 2025 3:51 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Static Tundra sfrutta una vecchia vulnerabilità Cisco per spionaggio
- Lenovo, il chatbot AI “Lena” era troppo loquace
- PyPI blocca i “domain resurrection”: disattivate 1.800 email
- CERT-AGID 9 – 14 agosto: gli alberghi italiani ancora sotto attacco
- Cina contro Nvidia: dubbi sulla sicurezza dei chip AI e sospetti di backdoor
I criminali hanno iniziato a usare il framework Havoc
Diversi i ricercatori di sicurezza hanno iniziato a rilevare l’uso sempre più frequente di un nuovo framework open source di comando e controllo chiamato Havoc da parte della criminalità informatica, come alternativa a prodotti commerciali come Cobalt Strike
Havoc offre molte funzioni interessanti, tra cui la capacità di lavorare su più piattaforme e di evitare la rilevazione di Microsoft Defender su dispositivi Windows 11 aggiornati.
La dashboard di Havoc
Il kit di Havoc contiene una vasta gamma di moduli che consentono agli attaccanti di eseguire varie attività sui dispositivi compromessi, tra cui l’esecuzione di comandi, la gestione dei processi e il download di payload aggiuntivi.
Tutte queste attività possono essere controllate attraverso una console di gestione basata sul web, che fornisce una visione completa dei dispositivi, degli eventi e dell’output.
Primi avvistamenti in the wild
Un gruppo sconosciuto ha usato Havoc all’inizio di gennaio in un attacco contro un’organizzazione governativa di cui non è stata resa nota l’identità, in un’azione individuata dal team di ricerca Zscaler ThreatLabz.
Il loader rilasciato sui sistemi compromessi disabilita l’Event Tracing for Windows (ETW) e il payload finale Havoc Demon viene caricato senza le intestazioni DOS e NT, per evitare il rilevamento.
Il framework è stato distribuito anche tramite un pacchetto npm dannoso che utilizza il typosquatting di un modulo legittimo (Aabquerys), come rilevato dal team di ricerca di ReversingLabs.
Lucija Valentić, ricercatrice di ReversingLabs, ha commentato: “Demon.bin è un agente dannoso con funzionalità tipiche RAT (trojan di accesso remoto) che è stato generato utilizzando un framework open source C&C post compromissione chiamato Havoc. Questo tool consente la creazione di agenti dannosi in diversi formati, tra cui eseguibile di Windows PE, DLL PE e shellcode”.
Lucija Valentić, ricercatrice di ReversingLabs
Alla ricerca di alternative
Cobalt Strike è stato a lungo lo strumento preferito da molti attori delle minacce per rilasciare beacon sulle reti delle vittime e inviare ulteriori payload.
A causa dell’aumento della capacità di rilevazione dei difensori, molti attaccanti stanno cercando alternative, come Brute Ratel e Sliver, che aiutano ad eludere le soluzioni antivirus e di EDR.
Brute Ratel
Brute Ratel è stato utilizzato in attacchi sospettati di essere legati al gruppo sponsorizzato dalla Russia APT29, ma alcune delle sue licenze sono finite nelle mani degli ex membri del gruppo ransomware Conti.
Sliver è un framework C2 basato su Go sviluppato dai ricercatori della società di sicurezza informatica BishopFox, che è stato utilizzato come alternativa a Cobalt Strike da vari attori delle minacce, dai gruppi state-sponsored alle bande di criminali informatici.
Condividi l'articolo
L'approccio DevSecOps risponde al bisogno di sicurezza
Aggiornamento d'emergenza per 8 milioni di veicoli Kia e Hyundai
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Cisco svela un nuovo tipo di jailbreak AI: i guardrail non... I chatbot basati su modelli linguistici di grandi... -
SafePay, cresce la minaccia ransomware contro gli MSP Tra le minacce più recenti che stanno facendo tremare il... -
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,... -
Liste di dati sul dark web: una fonte inaffidabile per le... In una recente analisi, Group-IB ha approfondito il ruolo... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Static Tundra sfrutta una vecchia vulnerabilità Cisco per... Un gruppo di cyber spionaggio legato ai servizi segreti... -
Lenovo, il chatbot AI “Lena” era troppo loquace Il chatbot di assistenza clienti di Lenovo, chiamato Lena,... -
PyPI blocca i “domain resurrection”: disattivate 1.800... Il team di sicurezza della Python Software Foundation,... -
CERT-AGID 9 – 14 agosto: gli alberghi italiani ancora... Nel corso di questa settimana il CERT-AGID ha rilevato -
Cina contro Nvidia: dubbi sulla sicurezza dei chip AI e... Le tensioni tra Stati Uniti e Cina si spostano sul...
Ransomware: la serie
No posts found.