Havoc - это мощный командно-контрольный фреймворк (C2). Как и другие известные C2-фреймворки, такие как Cobalt Strike, Silver и Winos4.0, Havoc использовался в кампаниях злоумышленников для получения полного контроля над целью. Кроме того, он имеет открытый исходный код и доступен на GitHub, что облегчает злоумышленникам модификацию для обхода обнаружения.
Havoc Framework
Недавно эксперты FortiGuard Labs обнаружили фишинговую кампанию, в которой ClickFix сочетается с многоступенчатым вредоносным ПО для развертывания модифицированного Havoc Demon Agent. Злоумышленник прячет каждую стадию вредоносной программы за сайтом SharePoint и использует модифицированную версию Havoc Demon в сочетании с Microsoft Graph API для скрытия C2-коммуникаций в доверенных, хорошо известных сервисах.
Кампания начинается с фишингового письма, содержащего HTML-файл в качестве вложения. Вложение, названное «Documents.html», представляет собой атаку ClickFix, содержащую поддельное сообщение об ошибке и инструкции в HTML, чтобы обмануть пользователей и заставить их скопировать и вставить вредоносную команду PowerShell в терминал или PowerShell, в конечном итоге выполнив вредоносный код.
Декодированная base64-кодированная строка в HTML-файле обнаруживает команду PowerShell, которая загружает и выполняет удаленный сценарий PowerShell. Сценарий размещается на SharePoint и контролируется злоумышленником. Он проверяет, находится ли среда выполнения в «песочнице», проверяя количество компьютеров в домене. Затем он удаляет все записи реестра в разделе HKCU:\Software\Microsoft, начинающиеся с «zr_», и добавляет указанное свойство в качестве маркера заражения.
Сценарий также проверяет существование файла pythonw.exe. Если он не найден, загружается интерпретатор Python. В противном случае выполняется непосредственно сценарий Python. Удаленный Python-скрипт впоследствии извлекается и выполняется в скрытых окнах, чтобы скрыть вредоносную деятельность.
KaynLdr, загрузчик Shellcode на Github, используется для рефлекторной загрузки встроенной DLL, что усложняет анализ. Он использует хэширование API с помощью модифицированного алгоритма DJB2 и одобренные ntdll API для выделения и мапинга памяти. DLL выполняется инструкцией «call rax», выступая в качестве точки входа для встроенной DLL.
Havoc Demon DLL - это командно-контрольный фреймворк с открытым исходным кодом, используемый в учениях «красных групп» и наступательных кампаниях для получения полного контроля над скомпрометированными целями. В этой кампании Havoc используется в сочетании с Microsoft Graph API, чтобы скрыть коммуникации C2 в известных сервисах.
Модифицированная библиотека Havoc Demon DLL начинается с DemonInit и использует тот же хэш-алгоритм, что и KaynLdr, для получения необходимых API и инициализации объектов конфигурации. Функция «SharePointC2Init» инициализирует файлы агента на сайте SharePoint, используя Microsoft Graph API.
Функция объединяет жестко заданный общий секрет с необходимыми параметрами для POST-запроса к сайту SharePoint. Она запускает C2-связь и получает дальнейшие инструкции и полезную нагрузку.
Indicators of Compromise
Domains
- hao771.sharepoint.com
SHA256
- 51796effe230d9eca8ec33eb17de9c27e9e96ab52e788e3a9965528be2902330
- 989f58c86343704f143c0d9e16893fad98843b932740b113e8b2f8376859d2dd
- A5210aaa9eb51e866d9c2ef17f55c0526732eacb1a412b910394b6b51246b7da
- cc151456cf7df7ff43113e5f82c4ce89434ab40e68cd6fb362e4ae4f70ce65b3
