Olarak bilinen, gelişmekte olan ve meşru bir penetrasyon testi çerçevesi gece kuşu Cobalt Strike benzeri yetenekleri nedeniyle tehdit aktörlerinin dikkatini çekmesi muhtemeldir.
Kurumsal güvenlik firması Proofpoint, Eylül 2022’nin ortalarında “Sadece kontrol ediyorum” ve “Umarım bu işe yarar2” gibi genel konu satırları kullanılarak gönderilen bir dizi test e-postasıyla yazılımın kullanıldığını tespit ettiğini söyledi.
Bununla birlikte, Proofpoint araştırmacısı Alexander Rausch, Nighthawk’ın sızdırılmış veya kırılmış bir sürümünün vahşi doğada tehdit aktörleri tarafından silah haline getirildiğine dair hiçbir belirti yok. söz konusu bir yazıda.
Aralık 2021’de MDSec adlı bir şirket tarafından piyasaya sürülen Nighthawk, rakipleri Cobalt Strike, Sliver ve Brute Ratel’e benziyor ve düşman tehdidi simülasyonu için kırmızı bir ekip araç seti sunuyor. Bir yıl boyunca kullanıcı başına 7.500 £ (veya 10.000 $) karşılığında lisanslanmıştır.
MDSec, “Nighthawk, piyasada bulunan en gelişmiş ve kaçamak komut ve kontrol çerçevesidir.” notlar. “Nighthawk, genellikle olgun, yüksek düzeyde izlenen ortamlarda görülen modern güvenlik kontrollerini atlatmak ve atlatmak için tasarlanmış, oldukça şekillendirilebilir bir implanttır.”
Sunnyvale merkezli şirkete göre, yukarıda belirtilen e-posta mesajları, tıklandığında alıcıları Nighthawk yükleyicisini içeren bir ISO görüntü dosyasına yönlendiren bubi tuzaklı URL’ler içeriyordu.
Gizlenmiş yükleyici, algılamaya karşı koymak ve radarın altında uçmak için ayrıntılı bir dizi özellik kullanan C++ tabanlı bir DLL olan şifrelenmiş Nighthawk yüküyle birlikte gelir.
Mevcut süreçte yeni yüklenen DLL’ler hakkında uç nokta algılama çözümlerinin uyarılmasını önleyebilen ve bir kendi kendine şifreleme modu uygulayarak işlem belleği taramalarından kaçabilen mekanizmalar özellikle dikkate değerdir.
Haydut aktörlerin, sömürü sonrası faaliyetlerini ilerletmek için halihazırda Cobalt Strike ve diğerlerinin crackli sürümlerinden yararlanmasıyla Nighthawk, “yöntemlerini çeşitlendirmek ve cephaneliklerine nispeten bilinmeyen bir çerçeve eklemek” isteyen gruplar tarafından da benzer şekilde benimsenmesine tanık olabilir.
Gerçekten de, Cobalt Strike ve Sliver ile ilgili yüksek tespit oranları, Çinli suç aktörlerini son aylarda Manjusaka ve Alchimist gibi alternatif saldırı çerçeveleri tasarlamaya yöneltti.
Rausch, “Nighthawk, özellikle tespitten kaçınma için oluşturulmuş, yasal kırmızı ekip operasyonları için olgun ve gelişmiş bir ticari C2 çerçevesidir ve bunu iyi yapıyor” dedi.
“Devlet çıkarlarıyla uyumlu ve casusluk yapanlar da dahil olmak üzere gelişmiş düşmanlar tarafından Brute Ratel gibi araçların tarihsel olarak benimsenmesi, gelecekteki olası tehdit ortamı gelişmeleri için bir şablon sağlıyor.”