Найти в Дзене
Социальная инженерия в информационной безопасности
40 подписчиков

Фишинговая кампания использует Havoc Framework для управления зараженными системами

4
1 мин
Новая фишинговая атака использует Havoc C2 и Microsoft Graph API Эксперты по кибербезопасности выявили очередную фишинговую кампанию, в которой злоумышленники применяют Havoc Framework — командно-контрольную (C2) систему с открытым исходным кодом. Вредоносное ПО модифицирует агент Havoc Demon и использует Microsoft Graph API для управления зараженными устройствами через SharePoint. Атака начинается с фишингового письма, содержащего HTML-вложение под названием "Documents.html". Этот файл использует ClickFix — тактику социальной инженерии, которая убеждает жертву скопировать и выполнить вредоносную команду PowerShell. Данный скрипт загружает удаленный PowerShell-код с сервера, размещенного на SharePoint, проверяет среду песочницы, вносит изменения в системный реестр и при необходимости загружает Python-интерпретатор для выполнения скрытого шелл-кода. Ключевым элементом атаки является использование KaynLdr — загрузчика шелл-кода, размещенного на GitHub. Он применяет API-хеширование, затру
Оглавление

Новая фишинговая атака использует Havoc C2 и Microsoft Graph API

Эксперты по кибербезопасности выявили очередную фишинговую кампанию, в которой злоумышленники применяют Havoc Framework — командно-контрольную (C2) систему с открытым исходным кодом. Вредоносное ПО модифицирует агент Havoc Demon и использует Microsoft Graph API для управления зараженными устройствами через SharePoint.

Механизм атаки

Атака начинается с фишингового письма, содержащего HTML-вложение под названием "Documents.html". Этот файл использует ClickFix — тактику социальной инженерии, которая убеждает жертву скопировать и выполнить вредоносную команду PowerShell. Данный скрипт загружает удаленный PowerShell-код с сервера, размещенного на SharePoint, проверяет среду песочницы, вносит изменения в системный реестр и при необходимости загружает Python-интерпретатор для выполнения скрытого шелл-кода.

Продвинутая маскировка

Ключевым элементом атаки является использование KaynLdr — загрузчика шелл-кода, размещенного на GitHub. Он применяет API-хеширование, затрудняя обнаружение. После загрузки модифицированная DLL Havoc Demon устанавливает соединение с C2 через Microsoft Graph API, маскируя активность под легитимный трафик SharePoint.

«Эта атака демонстрирует эволюцию методов фишинга и растущую сложность угроз», — комментирует Эрик Швейк, директор по стратегии кибербезопасности Salt Security. «Использование доверенных облачных сервисов, таких как SharePoint и Microsoft Graph API, усложняет обнаружение вредоносного трафика».

Как защититься от подобных атак?

Злоумышленники используют сложные методы маскировки, но компании могут снизить риски, внедряя проактивные меры кибербезопасности:

  • Обучение сотрудников: Повышение осведомленности о современных методах фишинга.
  • Контроль PowerShell-скриптов: Ограничение выполнения неподписанных команд.
  • Мониторинг SharePoint: Анализ активности на предмет аномального поведения.
  • Обнаружение угроз: Внедрение решений для выявления вредоносного трафика C2.

StopPhish помогает защитить ваш бизнес от подобных атак. Мы обучаем сотрудников выявлять фишинг, снижая риски заражения.

Источник: статья Alessandro Mascellino

Гаджеты и электроника
5,73 млн интересуются