I ricercatori di sicurezza di Bleeping Computer hanno recentemente scoperto un nuovo strumento di post-exploitation che viene utilizzato sempre più frequentemente dagli hacker in attacchi mirati. Si tratta del "Havoc Framework", che semplifica le fasi di post-exploitation, ovvero le attività svolte dopo aver ottenuto l'accesso ad un sistema compromesso. 

Il framework consente di automatizzare molte operazioni che normalmente richiederebbero molto tempo e sforzo, come la raccolta di informazioni sul sistema, l'accesso remoto e il controllo dei dispositivi collegati. Attualmente, diversi gruppi di cybercriminali stanno utilizzando questo framework per effettuare attacchi ransomware, furto di dati sensibili e attacchi di tipo "credential stuffing". 

Havoc Framework è stato anche utilizzato in attacchi "watering hole", ovvero attacchi che mirano a compromettere siti web noti e frequentati dagli utenti. L'uso del framework rappresenta quindi un nuovo pericolo per la sicurezza informatica, in quanto consente di effettuare attacchi più rapidi e mirati, con un minor rischio di essere scoperti. 

Tuttavia, Havoc non è l'unico strumento di post-exploitation utilizzato dai criminali in questi tipi di attacchi. Un altro strumento molto popolare è Cobalt Strike, che consente di effettuare attacchi molto sofisticati e difficili da rilevare. 

Cobalt Strike è un software di post-exploitation che consente di prendere il controllo di un sistema compromesso e di eseguire una vasta gamma di attività. Il software è stato utilizzato in molti attacchi informatici di alto profilo, come il famoso attacco alla SolarWinds. Tuttavia, a differenza di Havoc, Cobalt Strike è un software commerciale, il che significa che gli hacker devono pagare per utilizzarlo. 

E’ noto che esistono anche altri strumenti di post-exploitation simili che sono stati utilizzati in passato da gruppi APT, come ad esempio: 

• Brute RATel: è un tool di post-exploitation open source che è stato utilizzato da APT28, un gruppo di hacker associato al governo russo, per effettuare attacchi di spionaggio informatico. Il tool consente di eseguire diverse operazioni sul sistema compromesso, come la raccolta di informazioni, la registrazione di tasti e la cattura di immagini dello schermo. 
• Sliver: è un framework di post-exploitation open source che consente di automatizzare diverse attività svolte dopo un'attività di penetrazione. Il tool è stato utilizzato in passato da gruppi APT come APT29, noto anche come Cozy Bear, che è stato associato al governo russo. 

È importante notare che l'uso di strumenti di post-exploitation come Havoc, Brute RATel, Cobalt Strike e Sliver è spesso associato ad attacchi avanzati e mirati condotti da gruppi sofisticati e altamente organizzati, come i gruppi APT. Gli attacchi condotti da questi gruppi possono avere gravi conseguenze per le organizzazioni e le aziende vittime, e richiedono un alto livello di attenzione e preparazione per prevenire e mitigare gli effetti negativi. 

Tweet