Uma estrutura de teste de penetração nascente e legítima, conhecida como Nighthawk , provavelmente chamará a atenção dos agentes de ameaças por seus recursos semelhantes ao Cobalt Strike.
A empresa de segurança corporativa Proofpoint disse que detectou o uso do software em meados de setembro de 2022 por uma equipe vermelha com vários e-mails de teste enviados usando linhas de assunto genéricas como “Apenas verificando” e “Espero que funcione2”.
No entanto, não há indicações de que uma versão vazada ou quebrada do Nighthawk esteja sendo armada por agentes de ameaças em estado selvagem, disse o pesquisador da Proofpoint, Alexander Rausch , em um artigo.
Nighthawk, lançado em dezembro de 2021 por uma empresa chamada MDSec, é análogo a seus equivalentes Cobalt Strike , Sliver e Brute Ratel , oferecendo um conjunto de ferramentas de equipe vermelha para simulação de ameaças adversárias. É licenciado por £ 7.500 (ou $ 10.000) por usuário por um ano.
“Nighthawk é a estrutura de comando e controle mais avançada e evasiva disponível no mercado”, observa o MDSec . “Nighthawk é um implante altamente maleável projetado para contornar e escapar dos controles de segurança modernos frequentemente vistos em ambientes maduros e altamente monitorados.”
De acordo com a empresa com sede em Sunnyvale, as mensagens de e-mail mencionadas continham URLs com armadilhas que, quando clicadas, redirecionavam os destinatários para um arquivo de imagem ISO contendo o carregador Nighthawk.
O carregador ofuscado vem com a carga útil Nighthawk criptografada, uma DLL baseada em C++ que usa um conjunto elaborado de recursos para combater a detecção e voar sob o radar.
Particularmente, são os mecanismos que podem impedir que as soluções de detecção de endpoint sejam alertadas sobre DLLs recém-carregadas no processo atual e evitar verificações de memória do processo implementando um modo de autocriptografia.
Quando procurado para comentar, o MDSec disse ao The Hacker News que não tem conhecimento de nenhum caso do Nighthawk sendo usado para atividades ilegítimas e que as licenças são distribuídas apenas para um punhado de clientes rigorosamente controlados.
Com atores desonestos já aproveitando versões crackeadas do Cobalt Strike e outros para promover suas atividades pós-exploração, Nighthawk também pode testemunhar uma adoção semelhante por grupos que procuram “diversificar seus métodos e adicionar uma estrutura relativamente desconhecida ao seu arsenal”.
De fato, as altas taxas de detecção associadas ao Cobalt Strike e Sliver levaram criminosos chineses a criar estruturas ofensivas alternativas como Manjusaka e Alchimist nos últimos meses.
“Nighthawk é uma estrutura C2 comercial madura e avançada para operações legais de equipe vermelha, construída especificamente para evasão de detecção, e faz isso bem”, disse Rausch.
“A adoção histórica de ferramentas como o Brute Ratel por adversários avançados, incluindo aqueles alinhados com os interesses do estado e envolvidos em espionagem, fornece um modelo para possíveis desenvolvimentos futuros do cenário de ameaças”.
FONTE: THE HACKER NEWS