Хакеры переходят на малоизвестные инструменты для взлома компаний

В последние несколько месяцев кибергруппировки стали чаще использовать непопулярные фреймворки – пентесты вместо вредоносных программ, говорится в отчете аналитиков компании по информбезопасности BI.ZONE. Они применяется реже аналогичных инструментов, и поэтому их сложнее выявить современными средствами киберзащиты.

По данным BI.ZONE, 12% всех кибератак злоумышленники совершают с применением инструментов, изначально предназначенных для тестирования на проникновение. Решения для пентеста и red team хакеры стали включать в арсенал еще со второй половины 2010-х, однако в последнее время преступники стремятся заменить популярные инструменты на менее известные. Чем реже инструмент используется в атаках, тем больше у злоумышленников шансов остаться незамеченными в скомпрометированной ИТ-инфраструктуре.

Так, в последние несколько месяцев выросла популярность Havoc — фреймворка постэксплуатации с открытым исходным кодом. Изначально этот инструмент предназначен для того, чтобы получить доступ к системе в рамках пентеста и установить над ней контроль.

«С июля 2024 года мы выявили сразу несколько кампаний, в ходе которых злоумышленники применяли менее распространенный фреймворк Havoc, чтобы получить удаленный доступ к компьютерам жертв», – рассказал руководитель BI.ZONE Threat Intelligence Олег Скулкин.

Функциональные особенности Havoc принципиально не отличаются от других фреймворков. Этот инструмент менее популярен, чем другие, а потому его сложнее обнаружить средствами защиты. В этом и заключается его ключевое преимущество для преступников.

Олег Скулкин отмечает, что во всех случаях наиболее вероятной целью атак был шпионаж, а такие группировки стремятся оставаться в инфраструктуре компании незамеченными как можно дольше.

Для распространения вредоносной нагрузки фреймворка злоумышленники использовали фишинг. В одном случае жертвам приходили письма с якобы медицинскими документами. Во вложении был архив, в котором содержался lnk-файл. Если пользователь открывал этот ярлык, на его компьютер загружался отвлекающий документ — выписка из амбулаторной карты пациента, а также устанавливался загрузчик — программа, которая затем внедряла в устройство жертвы агент фреймворка Havoc. После этого злоумышленники получали доступ к скомпрометированной системе и могли удаленно выполнять в ней команды и выгружать данные.

В другом случае преступники рассылали фишинговые письма от лица одной из силовых структур. Пользователя уведомляли о том, что он якобы подозревается в совершении серьезного преступления, и просили предоставить документы, список которых предлагали скачать по ссылке в теле письма. На самом деле при переходе по ссылке на компьютер жертвы, как и в предыдущем случае, устанавливался загрузчик, а вслед за этим — агент.

Фишинговые рассылки по-прежнему остаются у киберпреступников одним из самых популярных способов получения первичного доступа. Причина в их низкой себестоимости, широте покрытия и высокой эффективности. Чтобы защитить корпоративную почту от фишинговых рассылок, но при этом не задерживать доставку легитимной почты, используются сервисы для фильтрации нежелательных писем.

«Выстроить эффективную защиту от атак, в том числе таких, в которых применяются редкие и сложные для выявления инструменты, помогают порталы киберразведки, например BI.ZONE Threat Intelligence. Получаемые из них данные о ландшафте киберугроз позволяют обеспечить эффективную работу средств защиты информации, ускорить реагирование на инциденты и защититься от наиболее серьезных для компании угроз», – рассказал Олег Скулкин.

Фото: Adobe Stoke