Según los informes, los actores de amenazas están utilizando un nuevo marco de comando y control (C2) llamado Havoc, que es de código abierto y ofrece una excelente administración basada en la web de dispositivos comprometidos.
Además de tener todas las capacidades habituales, esta nueva herramienta se considera una mejor alternativa a las opciones actuales debido a sus funciones adicionales, como la ofuscación del sueño, la suplantación de la pila de direcciones de retorno y las llamadas al sistema indirectas. Además, viene con un rata demoníaca por defecto para permitir que los piratas informáticos realicen más operaciones maliciosas.
Una mejor herramienta posterior a la explotación
Dado que el software antivirus detecta fácilmente herramientas habituales como las balizas Cobalt Strike, los piratas informáticos se están pasando a alternativas novedosas, como Brute Ratel y Sliver. Pero dado que son pagos y han sido probados exhaustivamente por una variedad de actores de amenazas, las soluciones de seguridad también se actualizan para atraparlos.
Por lo tanto, los actores de amenazas ahora se reúnen en torno a un nuevo marco C2 llamado Estragos – como reportado por los investigadores de Zscaler ThreatLabz. El equipo detectó un grupo de amenazas desconocido que desplegaba este kit posterior a la explotación a principios de enero, en su ataque contra una organización gubernamental no revelada.
Se les ve dejando caer este cargador de shellcode en los sistemas comprometidos y deshabilitando el seguimiento de eventos para Windows (ETW), sin encabezados de DOS y NT, evadiendo así la detección de ambos. También, nota de los investigadores este marco a veces se implementó a través de un paquete npm malicioso (Aabquerys) a través de la técnica de typosquatting.
Sin embargo, Havoc se considera una opción mucho más viable para los piratas informáticos ahora, con más y más actores de amenazas cambiando a este marco C2 de código abierto observado en las últimas semanas. Se dice que omite Microsoft Defender en dispositivos Windows 11 actualizados mediante técnicas como la ofuscación del sueño, la suplantación de la pila de direcciones de retorno y las llamadas al sistema indirectas.
Además, vendría con un troyano de acceso remoto llamado Demonio.bin – además de admitir la creación de otros agentes maliciosos en forma de ejecutable de Windows PE, PE DLL y shellcode.
Con una interfaz web que muestra todos los dispositivos comprometidos, este nuevo marco permite a los actores de amenazas realizar varios módulos, como ejecutar comandos, administrar procesos, descargar cargas útiles adicionales, manipular tokens de Windows y ejecutar shellcode.
