Berichten zufolge verwenden Bedrohungsakteure ein neues Command-and-Control-Framework (C2) namens Havoc ist Open Source und bietet eine hervorragende webbasierte Verwaltung kompromittierter Geräte.
Abgesehen von allen regulären Funktionen wird dieses neue Tool aufgrund seiner zusätzlichen Funktionen wie Sleep Obfuscation, Return Address Stack Spoofing und indirekten Systemaufrufen als bessere Alternative zu den aktuellen Optionen angesehen. Außerdem verfügt es über einen Dämonenratte standardmäßig, um Hackern die Durchführung bösartigerer Operationen zu ermöglichen.
Ein besseres Post-Exploitation-Tool
Da herkömmliche Tools wie Cobalt Strike Beacons von Antivirensoftware problemlos erkannt werden, greifen Hacker auf neuartige Alternativen zurück – wie Brute Ratel und Sliver. Da diese jedoch kostenpflichtig sind und von einer Reihe von Bedrohungsakteuren ausgiebig getestet wurden, werden Sicherheitslösungen aktualisiert, um auch sie abzufangen.
Daher konzentrieren sich Bedrohungsakteure derzeit auf ein neues C2-Framework namens Chaos – wie die Forscher von Zscaler ThreatLabz berichten. Das Team entdeckte Anfang Januar eine unbekannte Bedrohungsgruppe, die dieses Post-Exploitation-Kit einsetzte – bei ihrem Angriff auf eine nicht genannte Regierungsorganisation.
Sie haben diesen Shellcode-Loader auf den infizierten Systemen abgelegt und die Ereignisverfolgung für Windows (ETW) deaktiviert – ohne DOS- und NT-Header, wodurch sie der Erkennung durch beide Systeme entgehen. Außerdem stellen die Forscher fest, dass dieses Framework manchmal über ein bösartiges npm-Paket (Aabquerys) mithilfe der Typosquatting-Technik bereitgestellt wurde.
Allerdings wird Havoc für Hacker mittlerweile als weitaus praktikablere Option angesehen – in den letzten Wochen ist zu beobachten, dass immer mehr Bedrohungsakteure auf dieses Open-Source-C2-Framework umsteigen. Es soll den Microsoft Defender auf aktuellen Windows 11-Geräten durch Techniken wie Sleep Obfuscation, Return Address Stack Spoofing und indirekte Systemaufrufe umgehen.
Außerdem wäre ein Remote Access Trojaner namens Demon.bin – abgesehen von der Unterstützung der Erstellung anderer bösartiger Agenten in Form von ausführbaren Windows PE-Dateien, PE-DLLs und Shellcode.
Dieses neue Framework verfügt über eine Weboberfläche, die alle kompromittierten Geräte anzeigt, und ermöglicht es Bedrohungsakteuren, verschiedene Module auszuführen, etwa Befehle auszuführen, Prozesse zu verwalten, zusätzliche Payloads herunterzuladen, Windows-Token zu manipulieren und Shellcode auszuführen.
