Злоумышленники все чаще используют инструменты для пентестеров

by · Anti-Malware

Согласно статистике, с использованием инструментов для пентеста проходит каждая восьмая атака. Особое внимание эксперты обращают на фреймворк Havoc, который в последние месяцы все чаще используют киберпреступники.

Как отметили в BI.ZONE Threat Intelligence, инструменты для пентеста и редтиминга популярны у злоумышленников потому, что их применение сложнее выявить с помощью средств защиты информации.

Такая тенденция имеет место еще с середины 2010-х годов, когда злоумышленники начали применять Cobalt Strike, Metasploit, Sliver. Но в последнее время атакующие все активнее используют относительно малоизвестные инструменты.

Для загрузки инструментария злоумышленники, как правило, используют фишинг. Как предупредили эксперты BI.ZONE, обычно фигурируют два сценария: «медицинский», где вместе с выпиской из амбулаторной карты проходила загрузка агента Havoc, или «правоохранительный», где приманкой была ссылка на набор документов, который необходимо заполнить.

«Киберпреступники часто проводят фишинговые рассылки от имени известных организаций. Злоумышленники охотно используют названия крупных институтов, а также распространяют сообщения от лица регуляторов и силовых структур, чтобы они выглядели достовернее. Названия уважаемых компаний повышают доверие со стороны пользователей, подталкивая их открыть письмо», — предупреждают эксперты BI.ZONE.

Пример медицинского документа

 

Запрос якобы от правоохранительных органов

 

«С июля 2024 года мы выявили сразу несколько кампаний, в ходе которых злоумышленники применяли менее распространенный фреймворк Havoc, чтобы получить удаленный доступ к компьютерам жертв. Функциональные особенности Havoc принципиально не отличаются от других фреймворков. Этот инструмент менее популярен, чем другие, а потому его сложнее обнаружить средствами защиты. В этом и заключается его ключевое преимущество для преступников. Во всех случаях наиболее вероятной целью атак был шпионаж, а такие группировки стремятся оставаться в инфраструктуре компании незамеченными как можно дольше», — отметил руководитель BI.ZONE Threat Intelligence Олег Скулкин.

Читайте также

Трояна DCRat прячут в HTML- файлах, выдавая за VK Мессенджер и TrueConfРаспространители модульного трояна DCRat опробуют технику доставки полезной нагрузки, известную как HTML smuggling. Обнаружены образцы вредоносных файлов с поддельными страницами загрузки VKТатьяна Никитина, 27 Sep 2024Лаборатория Касперского показала бета-версию NGFW26 сентября на форуме Kaspersky Industrial Cybersecurity Conference 2024 «Лаборатория Касперского» впервые представила бета-версию Kaspersky NGFW. Работа над межсетевым экраном следующего поколенияЯков Шпунт, 26 Sep 2024Автомобили Kia можно было контролировать удалённо из-за набора уязвимостейСпециалисты по кибербезопасности рассказали о нескольких уязвимостях, затрагивающих автомобили южнокорейского производителя Kia и позволявших получить контроль над ключевой функциональностью. ВЕкатерина Быстрова, 27 Sep 2024