Nighthawk nova ferramenta pós-exploração dos hackers

Nighthawk nova ferramenta pós-exploração dos hackers após o ataque do Cobalt Strike.

Uma estrutura de teste de penetração nascente e legítima, conhecida como Nighthawk , provavelmente chamará a atenção dos agentes de ameaças por seus recursos semelhantes ao Cobalt Strike.

A empresa de segurança corporativa Proofpoint disse que detectou o uso do software em meados de setembro de 2022 por um Red Team com vários e-mails de teste enviados usando linhas de assunto genéricas como “”Just checking in” e “Hope this works2.“.

No entanto, não há indicações de que uma versão vazada ou quebrada do Nighthawk esteja sendo armada por agentes de ameaças em estado selvagem, disse o pesquisador da Proofpoint, Alexander Rausch , em um artigo.

Nighthawk, lançado em dezembro de 2021 por uma empresa chamada MDSec, é análogo a seus equivalentes Cobalt Strike , Sliver e Brute Ratel , oferecendo um conjunto de ferramentas de Red Team para simulação de ameaças adversárias. É licenciado por £ 7.500 (ou $ 10.000) por usuário por um ano.

“Nighthawk é a estrutura de comando e controle mais avançada e evasiva disponível no mercado“, observa o MDSec . “Nighthawk é um implante altamente maleável projetado para contornar e escapar dos controles de segurança modernos frequentemente vistos em ambientes maduros e altamente monitorados.“

De acordo com a empresa com sede em Sunnyvale, as mensagens de e-mail mencionadas continham URLs com armadilhas que, quando clicadas, redirecionavam os destinatários para um arquivo de imagem ISO contendo o carregador Nighthawk.

O carregador ofuscado vem com a carga útil Nighthawk criptografada, uma DLL baseada em C++ que usa um conjunto elaborado de recursos para combater a detecção e voar sob o radar.

Particularmente, são os mecanismos que podem impedir que as soluções de detecção de endpoint sejam alertadas sobre DLLs recém-carregadas no processo atual e evitar verificações de memória do processo implementando um modo de autocriptografia.

Quando procurado para comentar, o MDSec disse ao The Hacker News que não tem conhecimento de nenhum caso do Nighthawk sendo usado para atividades ilegítimas e que as licenças são distribuídas apenas para um punhado de clientes rigorosamente controlados.

Com atores desonestos já aproveitando versões crackeadas do Cobalt Strike e outros para promover suas atividades pós-exploração, Nighthawk também pode testemunhar uma adoção semelhante por grupos que procuram “diversificar seus métodos e adicionar uma estrutura relativamente desconhecida ao seu arsenal”.

De fato, as altas taxas de detecção associadas ao Cobalt Strike e Sliver levaram criminosos chineses a criar estruturas ofensivas alternativas como Manjusaka e Alchimist nos últimos meses.

“Nighthawk é uma estrutura C2 comercial madura e avançada para operações legais de equipe vermelha, construída especificamente para evasão de detecção, e faz isso bem“, disse Rausch.

“A adoção histórica de ferramentas como o Brute Ratel por adversários avançados, incluindo aqueles alinhados com os interesses do estado e envolvidos em espionagem, fornece um modelo para possíveis desenvolvimentos futuros do cenário de ameaças”.

Fonte: The Hacker News

Veja também:

• Como a tecnologia pode impactar a segurança dos estádios
• A Black Friday e ameaça às APIs das empresas
• Fortinet relança serviço gratuito de avaliação de segurança em OT
• Microsoft lança atualização out-of-band para patch causar problemas
• Relatório Global de Ameaças da Elastic aponta que 33% dos ataques cibernéticos na nuvem utilizam acesso a credenciais
• Black Friday: 11 dicas para evitar golpes na internet
• Cibersegurança: como navegar em um mundo sem cookies de terceiros
• ESG: a relação entre governança e cibersegurança
• Falha na rede pode levar à perda do pod da tripulação da NASA
• Atividade DTrack direcionada para a Europa e América Latina
• Vulnerabilidade no MFA Twitter
• Apps do Microsoft 365 continuam sendo os serviços de nuvem mais explorados