Les cybercriminels utilisent depuis des années des plate-formes de commande et de contrôle commerciales – ou des copies illégales de celles-ci – comme Cobalt Strike, Sliver, Metasploit et d’autres, pour mener à bien leurs attaques.
Une nouvelle plate-forme open-source nommée Havoc – créée pour aider ceux qui exécutent des tests d’intrusion – est maintenant utilisée par au moins un pirate informatique, selon des chercheurs de Zscaler, qui l’ont vu cibler une organisation gouvernementale anonyme.
Les outils de Havoc, qui permettent à un utilisateur de communiquer avec un serveur de commande et de contrôle, sont idéaux pour un attaquant.
« Alors que les plate-formes de commande et de contrôle sont prolifiques », ont déclaré les chercheurs cette semaine, ” la plate-forme open-source Havoc est une plate-forme avancé de commande et de contrôle post-exploitation capable de contourner la version la plus récente et la plus à jour de Windows 11 Defender en raison à la mise en œuvre de techniques d’évasion avancées telles que les appels système indirects et l’obscurcissement par la dormance.
Le cybercriminel se servant de Havoc a utilisé une méthode sournoise pour livrer la charge utile, le démon Havoc. D’une manière quelconque – les chercheurs n’expliquent pas comment – un fichier compressé nommé ZeroTwo.zip a été livré à la victime. Il contient deux fichiers : Un document leurre, qui dans ce cas était un document décrivant « ZeroTwo », un personnage fictif de la série télévisée animée japonaise Darling in the Franxx ; et ce qui semble être un fichier d’économiseur d’écran appelé « character.scr », qui conduit au téléchargement de l’agent Havoc Demon. Il télécharge également une image JPG d’un personnage de la série télévisée, ce qui aide à cacher ce qui se passe réellement.
Les chercheurs ne le spécifient pas, mais on pourrait supposer qu’un message d’hameçonnage serait envoyé à un ou plusieurs employés d’une organisation, offrant une image de la série télévisée dans l’espoir qu’une victime la télécharge.
La charge utile téléchargée comprend un chargeur de code de commande qui est signé à l’aide du certificat numérique de Microsoft pour tromper Windows. Entre autres choses, le chargeur désactive la fonctionnalité de suivi des événements de Windows.
La campagne au moyen de la plate-forme Havoc C2 souligne l’importance de mesures de cybersécurité appropriées dans le monde numérique d’aujourd’hui, affirment les chercheurs. Les organisations doivent être vigilantes et protéger leurs systèmes informatiques, disent-ils. « Avec l’essor de la technologie, le besoin de solutions de sécurité robustes devient de plus en plus vital, et les organisations doivent prendre des mesures proactives pour assurer la sécurité de leurs systèmes et de leurs données. »
Adaptation et traduction française par Renaud Larue-Langlois.
