{"id":476934,"date":"2022-11-23T05:28:23","date_gmt":"2022-11-23T07:28:23","guid":{"rendered":"https:\/\/teknomers.com\/fr\/nighthawk-est-susceptible-de-devenir-le-nouvel-outil-post-exploitation-des-pirates-apres-cobalt-strike\/"},"modified":"2022-11-23T05:28:25","modified_gmt":"2022-11-23T07:28:25","slug":"nighthawk-est-susceptible-de-devenir-le-nouvel-outil-post-exploitation-des-pirates-apres-cobalt-strike","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/nighthawk-est-susceptible-de-devenir-le-nouvel-outil-post-exploitation-des-pirates-apres-cobalt-strike\/","title":{"rendered":"Nighthawk est susceptible de devenir le nouvel outil post-exploitation des pirates apr\u00e8s Cobalt Strike"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un cadre de test de p\u00e9n\u00e9tration naissant et l\u00e9gitime connu sous le nom de <b>Engoulevent <\/b>est susceptible d&#8217;attirer l&#8217;attention des acteurs de la menace pour ses capacit\u00e9s de type Cobalt Strike.<\/p>\n<p>La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 d&#8217;entreprise Proofpoint a d\u00e9clar\u00e9 avoir d\u00e9tect\u00e9 l&#8217;utilisation du logiciel \u00e0 la mi-septembre 2022 avec un certain nombre d&#8217;e-mails de test envoy\u00e9s en utilisant des lignes d&#8217;objet g\u00e9n\u00e9riques telles que &#8220;Just check in&#8221; et &#8220;Hope this works2&#8221;.<\/p>\n<p>Cependant, rien n&#8217;indique qu&#8217;une version divulgu\u00e9e ou fissur\u00e9e de Nighthawk soit militaris\u00e9e par des acteurs de la menace dans la nature, a d\u00e9clar\u00e9 le chercheur de Proofpoint, Alexander Rausch. <a rel=\"nofollow noopener\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/nighthawk-and-coming-pentest-tool-likely-gain-threat-actor-notice\" target=\"_blank\">a dit<\/a> dans un \u00e9crit.<\/p>\n<p>Nighthawk, lanc\u00e9 en d\u00e9cembre 2021 par une soci\u00e9t\u00e9 appel\u00e9e MDSec, est analogue \u00e0 ses homologues Cobalt Strike, Sliver et Brute Ratel, offrant un ensemble d&#8217;outils d&#8217;\u00e9quipe rouge pour la simulation de menaces adverses.  Il est sous licence pour 7 500 \u00a3 (ou 10 000 $) par utilisateur pendant un an.<\/p>\n<p>\u00ab\u00a0Nighthawk est le cadre de commande et de contr\u00f4le le plus avanc\u00e9 et le plus \u00e9vasif disponible sur le march\u00e9\u00a0\u00bb, MDSec <a rel=\"nofollow noopener\" href=\"https:\/\/www.mdsec.co.uk\/nighthawk\/\" target=\"_blank\">Remarques<\/a>.  &#8220;Nighthawk est un implant hautement mall\u00e9able con\u00e7u pour contourner et \u00e9chapper aux contr\u00f4les de s\u00e9curit\u00e9 modernes souvent observ\u00e9s dans des environnements matures et hautement surveill\u00e9s.&#8221;<\/p>\n<p>Selon la soci\u00e9t\u00e9 bas\u00e9e \u00e0 Sunnyvale, les e-mails susmentionn\u00e9s contenaient des URL pi\u00e9g\u00e9es qui, une fois cliqu\u00e9es, redirigeaient les destinataires vers un fichier image ISO contenant le chargeur Nighthawk.<\/p>\n<p>Le chargeur obfusqu\u00e9 est livr\u00e9 avec la charge utile Nighthawk crypt\u00e9e, une DLL bas\u00e9e sur C++ qui utilise un ensemble \u00e9labor\u00e9 de fonctionnalit\u00e9s pour contrer la d\u00e9tection et voler sous le radar.<\/p>\n<p>Il convient de noter en particulier les m\u00e9canismes qui peuvent emp\u00eacher les solutions de d\u00e9tection des terminaux d&#8217;\u00eatre alert\u00e9es des DLL nouvellement charg\u00e9es dans le processus en cours et d&#8217;\u00e9viter les analyses de m\u00e9moire du processus en impl\u00e9mentant un mode d&#8217;auto-cryptage.<\/p>\n<p>Avec des acteurs voyous tirant d\u00e9j\u00e0 parti des versions crack\u00e9es de Cobalt Strike et d&#8217;autres pour poursuivre leurs activit\u00e9s de post-exploitation, Nighthawk pourrait \u00e9galement assister \u00e0 une adoption similaire par des groupes cherchant \u00e0 &#8220;diversifier leurs m\u00e9thodes et ajouter un cadre relativement inconnu \u00e0 leur arsenal&#8221;.<\/p>\n<p>En effet, les taux de d\u00e9tection \u00e9lev\u00e9s associ\u00e9s \u00e0 Cobalt Strike et Sliver ont conduit les acteurs criminels chinois \u00e0 concevoir des cadres offensifs alternatifs comme Manjusaka et Alchimist ces derniers mois.<\/p>\n<p>&#8220;Nighthawk est un cadre C2 commercial mature et avanc\u00e9 pour les op\u00e9rations l\u00e9gales de l&#8217;\u00e9quipe rouge, sp\u00e9cialement con\u00e7u pour l&#8217;\u00e9vasion de la d\u00e9tection, et il le fait bien&#8221;, a d\u00e9clar\u00e9 Rausch.<\/p>\n<p>&#8220;L&#8217;adoption historique d&#8217;outils comme Brute Ratel par des adversaires avanc\u00e9s, y compris ceux align\u00e9s sur les int\u00e9r\u00eats de l&#8217;\u00c9tat et se livrant \u00e0 l&#8217;espionnage, fournit un mod\u00e8le pour d&#8217;\u00e9ventuels d\u00e9veloppements futurs du paysage des menaces.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/nighthawk-likely-to-become-hackers-new.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un cadre de test de p\u00e9n\u00e9tration naissant et l\u00e9gitime connu sous le nom de Engoulevent est susceptible d&#8217;attirer l&#8217;attention des acteurs de la menace pour ses capacit\u00e9s de type Cobalt Strike. La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 d&#8217;entreprise Proofpoint a d\u00e9clar\u00e9 avoir d\u00e9tect\u00e9 l&#8217;utilisation du logiciel \u00e0 la mi-septembre 2022 avec un certain nombre d&#8217;e-mails de test [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":476935,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[271,5056,4168,4158,4165,4161,133,1307,40,4157,4159,4171,4170,4167,4160,126730,716,4163,4162,5527,4394,126731,4172,4169,8544,4585,4166,4164],"class_list":["post-476934","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-apres","tag-cobalt","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-devenir","tag-est","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nighthawk","tag-nouvel","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-outil","tag-pirates","tag-postexploitation","tag-securite-informatique","tag-securite-internet","tag-strike","tag-susceptible","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/476934","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=476934"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/476934\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/476935"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=476934"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=476934"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=476934"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}