Một khuôn khổ thử nghiệm thâm nhập hợp pháp và mới được gọi là Nighthawk có khả năng thu hút sự chú ý của các tác nhân đe dọa nhờ các khả năng giống như Cobalt Strike của nó.
Công ty bảo mật doanh nghiệp Proofpoint cho biết họ đã phát hiện việc sử dụng phần mềm này vào giữa tháng 9 năm 2022 với một số email thử nghiệm được gửi bằng các dòng chủ đề chung chung như “Chỉ cần đăng ký” và “Hy vọng điều này hoạt động2.”
Tuy nhiên, không có dấu hiệu nào cho thấy một phiên bản bị rò rỉ hoặc bị bẻ khóa của Nighthawk đang được vũ khí hóa bởi các tác nhân đe dọa ngoài tự nhiên, nhà nghiên cứu Proofpoint Alexander Rausch cho biết trong một bài viết.
Nighthawk, được ra mắt vào tháng 12 năm 2021 bởi một công ty có tên MDSec, tương tự như các đối tác của nó là Cobalt Strike, Sliver và Brute Ratel, cung cấp bộ công cụ đội đỏ để mô phỏng mối đe dọa của kẻ thù. Nó được cấp phép với giá £7.500 (hoặc $10.000) cho mỗi người dùng trong một năm.
“Nighthawk là khuôn khổ ra lệnh và kiểm soát tiên tiến và lảng tránh nhất hiện có trên thị trường,” MDSec lưu ý. “Nighthawk là một bộ phận cấy ghép rất dễ uốn được thiết kế để phá vỡ và trốn tránh các biện pháp kiểm soát an ninh hiện đại thường thấy trong môi trường trưởng thành, được giám sát chặt chẽ.”
Theo công ty có trụ sở tại Sunnyvale, các email nói trên chứa các URL bị bẫy, khi được nhấp vào, các URL này sẽ chuyển hướng người nhận đến một tệp hình ảnh ISO chứa trình tải Nighthawk.
Trình tải bị xáo trộn đi kèm với tải trọng Nighthawk được mã hóa, một DLL dựa trên C++ sử dụng một bộ tính năng phức tạp để chống lại sự phát hiện và bay dưới radar.
Đặc biệt lưu ý là các cơ chế có thể ngăn không cho các giải pháp phát hiện điểm cuối được cảnh báo về các tệp DLL mới được tải trong quy trình hiện tại và trốn tránh quá trình quét bộ nhớ quy trình bằng cách triển khai chế độ tự mã hóa.
Khi đưa ra bình luận, MDSec nói với The Hacker News rằng họ không biết về bất kỳ trường hợp nào Nighthawk được sử dụng cho hoạt động bất hợp pháp và giấy phép chỉ được phân phối cho một số ít khách hàng được kiểm tra chặt chẽ.
Với việc những kẻ lừa đảo đã tận dụng các phiên bản bẻ khóa của Cobalt Strike và những phiên bản khác để tiếp tục các hoạt động hậu khai thác của chúng, Nighthawk cũng có thể chứng kiến sự áp dụng tương tự của các nhóm đang tìm cách “đa dạng hóa các phương pháp của họ và thêm một khuôn khổ tương đối lạ vào kho vũ khí của họ.”
Thật vậy, tỷ lệ phát hiện cao liên quan đến Cobalt Strike và Sliver đã khiến các phần tử tội phạm Trung Quốc nghĩ ra các khuôn khổ tấn công thay thế như Manjusaka và Alchimist trong những tháng gần đây.
Rausch cho biết: “Nighthawk là một khuôn khổ C2 thương mại tiên tiến và trưởng thành dành cho các hoạt động hợp pháp của đội đỏ được xây dựng đặc biệt để tránh bị phát hiện và nó thực hiện tốt điều này”.
“Việc các đối thủ tiên tiến áp dụng các công cụ như Brute Ratel trong lịch sử, bao gồm cả những công cụ phù hợp với lợi ích của nhà nước và tham gia vào hoạt động gián điệp, cung cấp một khuôn mẫu cho sự phát triển bối cảnh mối đe dọa có thể xảy ra trong tương lai.”
