Un marco de prueba de penetración incipiente y legítimo conocido como Chotacabras es probable que atraiga la atención de los actores de amenazas por sus capacidades similares a Cobalt Strike.
La firma de seguridad empresarial Proofpoint dijo que detectó el uso del software a mediados de septiembre de 2022 con una serie de correos electrónicos de prueba enviados con líneas de asunto genéricas como “Solo registrándome” y “Espero que esto funcione”.
Sin embargo, no hay indicios de que una versión filtrada o descifrada de Nighthawk esté siendo armada por actores de amenazas en la naturaleza, dijo el investigador de Proofpoint Alexander Rausch. dijo en un escrito.
Nighthawk, lanzado en diciembre de 2021 por una empresa llamada MDSec, es análogo a sus contrapartes Cobalt Strike, Sliver y Brute Ratel, y ofrece un conjunto de herramientas de equipo rojo para la simulación de amenazas adversarias. Tiene una licencia de £ 7,500 (o $ 10,000) por usuario durante un año.
“Nighthawk es el marco de comando y control más avanzado y evasivo disponible en el mercado”, MDSec notas. “Nighthawk es un implante altamente maleable diseñado para eludir y evadir los controles de seguridad modernos que a menudo se ven en entornos maduros y altamente monitoreados”.
Según la empresa con sede en Sunnyvale, los mensajes de correo electrónico antes mencionados contenían URL con trampas explosivas que, al hacer clic, redirigían a los destinatarios a un archivo de imagen ISO que contenía el cargador Nighthawk.
El cargador ofuscado viene con la carga útil encriptada Nighthawk, una DLL basada en C++ que utiliza un elaborado conjunto de características para contrarrestar la detección y pasar desapercibido.
De particular importancia son los mecanismos que pueden evitar que las soluciones de detección de puntos finales reciban alertas sobre los archivos DLL recién cargados en el proceso actual y evadir los análisis de la memoria del proceso mediante la implementación de un modo de autocifrado.
Dado que los actores deshonestos ya aprovechan las versiones descifradas de Cobalt Strike y otras para promover sus actividades posteriores a la explotación, Nighthawk también podría ser testigo de una adopción similar por parte de grupos que buscan “diversificar sus métodos y agregar un marco relativamente desconocido a su arsenal”.
De hecho, las altas tasas de detección asociadas con Cobalt Strike y Sliver han llevado a los actores criminales chinos a idear marcos ofensivos alternativos como Manjusaka y Alchimist en los últimos meses.
“Nighthawk es un marco C2 comercial maduro y avanzado para operaciones legales de equipo rojo que está diseñado específicamente para la evasión de detección, y lo hace bien”, dijo Rausch.
“La adopción histórica de herramientas como Brute Ratel por parte de adversarios avanzados, incluidos aquellos alineados con los intereses estatales y dedicados al espionaje, proporciona una plantilla para posibles desarrollos futuros del panorama de amenazas”.