В последние несколько месяцев кибергруппировки стали чаще использовать фреймворк Havoc. Этот инструмент применяется реже аналогичных, и поэтому его сложнее выявить современными средствами защиты информации. По данным компании BI.ZONE, 12% всех кибератак злоумышленники совершают с применением инструментов, изначально предназначенных для тестирования на проникновение. Решения для пентеста и red team хакеры стали включать в арсенал ещё со второй половины 2010 годов, однако в последнее время преступники стремятся заменить популярные инструменты на менее известные.
В последние несколько месяцев выросла популярность Havoc — фреймворка для постэксплуатации с открытым исходным кодом. Изначально этот инструмент предназначен для того, чтобы получить доступ к системе в рамках пентеста и установить над ней контроль.
Руководитель BI.ZONE Threat Intelligence Олег Скулкин рассказал о нескольких кампаниях, в ходе которых злоумышленники применяли менее распространённый фреймворк Havoc, чтобы получить удалённый доступ к компьютерам жертв. Havoc принципиально не отличаются от других фреймворков. Этот инструмент менее популярен, чем другие, а потому его сложнее обнаружить средствами защиты. В этом и заключается его ключевое преимущество для преступников. Во всех случаях наиболее вероятной целью атак был шпионаж, а такие группировки стремятся оставаться в инфраструктуре компании незамеченными как можно дольше. Для распространения вредоносной нагрузки фреймворка злоумышленники использовали фишинг.
В одном случае жертвам приходили письма с якобы медицинскими документами. Во вложении был архив, в котором содержался lnk‑файл. Если пользователь открывал этот ярлык, на его компьютер загружался отвлекающий документ — выписка из амбулаторной карты пациента, а также устанавливался загрузчик — программа, которая затем внедряла в устройство жертвы агент фреймворка Havoc. После этого злоумышленники получали доступ к скомпрометированной системе и могли удалённо выполнять в ней команды и выгружать данные.
В другой кампании преступники рассылали фишинговые письма от лица одной из силовых структур. Пользователя уведомляли о том, что он якобы подозревается в совершении серьёзного преступления, и просили предоставить документы, список которых предлагали скачать по ссылке в теле письма. На самом деле при переходе по ссылке на компьютер жертвы, как и в предыдущем случае, устанавливался загрузчик, а вслед за этим — агент.
Фишинговые рассылки по‑прежнему остаются у киберпреступников одним из самых популярных способов получения первичного доступа. Причина в их низкой себестоимости, широте покрытия и высокой эффективности. Чтобы защитить корпоративную почту от фишинговых рассылок, но при этом не задерживать доставку легитимной почты, используются сервисы для фильтрации нежелательных писем.