Aggiornamenti recenti Giugno 16th, 2026 3:33 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Zscaler porta la Zero Trust nell’era degli agenti AI
- Infrastrutture Critiche e Geopolitica: è l’Era dell’Antifragilità
- Il gruppo criminale cinese TA4922 adesso punta anche all’Europa
- Il 78% delle aziende ha già subito o sospetta incidenti legati all’IA
- SEO poisoning e chatbot AI dirottati per un malware miner
I criminali hanno iniziato a usare il framework Havoc
Diversi i ricercatori di sicurezza hanno iniziato a rilevare l’uso sempre più frequente di un nuovo framework open source di comando e controllo chiamato Havoc da parte della criminalità informatica, come alternativa a prodotti commerciali come Cobalt Strike
Havoc offre molte funzioni interessanti, tra cui la capacità di lavorare su più piattaforme e di evitare la rilevazione di Microsoft Defender su dispositivi Windows 11 aggiornati.
La dashboard di Havoc
Il kit di Havoc contiene una vasta gamma di moduli che consentono agli attaccanti di eseguire varie attività sui dispositivi compromessi, tra cui l’esecuzione di comandi, la gestione dei processi e il download di payload aggiuntivi.
Tutte queste attività possono essere controllate attraverso una console di gestione basata sul web, che fornisce una visione completa dei dispositivi, degli eventi e dell’output.
Primi avvistamenti in the wild
Un gruppo sconosciuto ha usato Havoc all’inizio di gennaio in un attacco contro un’organizzazione governativa di cui non è stata resa nota l’identità, in un’azione individuata dal team di ricerca Zscaler ThreatLabz.
Il loader rilasciato sui sistemi compromessi disabilita l’Event Tracing for Windows (ETW) e il payload finale Havoc Demon viene caricato senza le intestazioni DOS e NT, per evitare il rilevamento.
Il framework è stato distribuito anche tramite un pacchetto npm dannoso che utilizza il typosquatting di un modulo legittimo (Aabquerys), come rilevato dal team di ricerca di ReversingLabs.
Lucija Valentić, ricercatrice di ReversingLabs, ha commentato: “Demon.bin è un agente dannoso con funzionalità tipiche RAT (trojan di accesso remoto) che è stato generato utilizzando un framework open source C&C post compromissione chiamato Havoc. Questo tool consente la creazione di agenti dannosi in diversi formati, tra cui eseguibile di Windows PE, DLL PE e shellcode”.
Lucija Valentić, ricercatrice di ReversingLabs
Alla ricerca di alternative
Cobalt Strike è stato a lungo lo strumento preferito da molti attori delle minacce per rilasciare beacon sulle reti delle vittime e inviare ulteriori payload.
A causa dell’aumento della capacità di rilevazione dei difensori, molti attaccanti stanno cercando alternative, come Brute Ratel e Sliver, che aiutano ad eludere le soluzioni antivirus e di EDR.
Brute Ratel
Brute Ratel è stato utilizzato in attacchi sospettati di essere legati al gruppo sponsorizzato dalla Russia APT29, ma alcune delle sue licenze sono finite nelle mani degli ex membri del gruppo ransomware Conti.
Sliver è un framework C2 basato su Go sviluppato dai ricercatori della società di sicurezza informatica BishopFox, che è stato utilizzato come alternativa a Cobalt Strike da vari attori delle minacce, dai gruppi state-sponsored alle bande di criminali informatici.
Condividi l'articolo
L'approccio DevSecOps risponde al bisogno di sicurezza
Aggiornamento d'emergenza per 8 milioni di veicoli Kia e Hyundai
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Infrastrutture Critiche e Geopolitica: è l’Era... Il nuovo assetto geopolitico mondiale ha messo a nudo una... -
Il 78% delle aziende ha già subito o sospetta incidenti... A leggere il nuovo “2026 Cloud Security Report”... -
Kaspersky: la GenAI mette alla prova il riconoscimento... Un volto reale può essere modificato dall’intelligenza... -
Kaspersky: gli agenti IA cambiano la fiducia aziendale Gli agenti di intelligenza artificiale sono ormai entrati... -
Un dipendente su otto considera accettabile vendere le... Il problema del dipendente “infedele” è vecchio quanto...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Zscaler porta la Zero Trust nell’era degli agenti AI Sebbene il numero di casi d’uso nel nostro Paese sia... -
Infrastrutture Critiche e Geopolitica: è l’Era... Il nuovo assetto geopolitico mondiale ha messo a nudo
-
Il gruppo criminale cinese TA4922 adesso punta anche... Un gruppo cybercriminale di lingua cinese fino a poco... -
Il 78% delle aziende ha già subito o sospetta incidenti... A leggere il nuovo “2026 Cloud Security Report”...
-
SEO poisoning e chatbot AI dirottati per un malware miner Le campagne di SEO poisoning non sono certo una novità...
Ransomware: la serie
No posts found.