Злоумышленники могут начать постепенно отказываться от Cobalt Strike в пользу мощного малоизвестного фреймворка.
https://www.securitylab.ru/upload/ib...ki8guvimud.png
По словам исследователей из Proofpoint, новый легальный пентест-фреймворк под названием Nighthawk может привлечь к себе внимание злоумышленников из-за своего широкого функционала, подобного функционалу Cobalt Strike. Эксперты компании обнаружили использование фреймворка в середине сентября 2022 года, когда с его помощью было отправлено несколько тестовых электронных писем, внутри которых были строчки "Just checking in" и "Hope this works2". Однако нет никаких признаков того, что в сеть утекла лицензия или появился “кряк” Nighthawk, которым могли бы воспользоваться злоумышленники.
Nighthawk – набор инструментов для пентеста, выпущенный в декабре 2021 года компанией MDSec. Он похож своим функционалом на Cobalt Strike, Silver и Brute Ratel, предлагая похожий набор инструментов. Лицензия на одного пользователя стоит $10 000 в год.
По данным Proofpoint, вышеупомянутые электронные письма содержали URL-ловушки, которые при нажатии перенаправляли получателей на ISO-образ, содержащий обфусцированный загрузчик с полезной нагрузкой Nighthawk, которая использует сложный набор функций, чтобы противостоять обнаружению и остаться незамеченной.
Особого внимания заслуживают механизмы, которые не дают защитным решениям для конечных точек предупреждать пользователей о новых загруженных DLL и позволяют обойти сканирование памяти процесса с помощью режима самошифрования.
Поскольку злоумышленники уже используют взломанные версии Cobalt Strike и других программ для пентеста, эксперты считают, что Nighthawk может разделить их участь и стать еще одним оружием в руках хакерских группировок, которые хотят разнообразить свои методы атак и добавить относительно неизвестный фреймворк в свой арсенал.