Пентест-фреймворк Nighthawk может стать вторым Cobalt Strike

По словам исследователей из Proofpoint, новый легальный пентест-фреймворк под названием Nighthawk может привлечь к себе внимание злоумышленников из-за своего широкого функционала, подобного функционалу Cobalt Strike. Эксперты компании обнаружили использование фреймворка в середине сентября 2022 года, когда с его помощью было отправлено несколько тестовых электронных писем, внутри которых были строчки "Just checking in" и "Hope this works2". Однако нет никаких признаков того, что в сеть утекла лицензия или появился “кряк” Nighthawk, которым могли бы воспользоваться злоумышленники.

Nighthawk – набор инструментов для пентеста, выпущенный в декабре 2021 года компанией MDSec. Он похож своим функционалом на Cobalt Strike, Silver и Brute Ratel, предлагая похожий набор инструментов. Лицензия на одного пользователя стоит $10 000 в год.

По данным Proofpoint, вышеупомянутые электронные письма содержали URL-ловушки, которые при нажатии перенаправляли получателей на ISO-образ, содержащий обфусцированный загрузчик с полезной нагрузкой Nighthawk, которая использует сложный набор функций, чтобы противостоять обнаружению и остаться незамеченной.

Особого внимания заслуживают механизмы, которые не дают защитным решениям для конечных точек предупреждать пользователей о новых загруженных DLL и позволяют обойти сканирование памяти процесса с помощью режима самошифрования.

Поскольку злоумышленники уже используют взломанные версии Cobalt Strike и других программ для пентеста, эксперты считают, что Nighthawk может разделить их участь и стать еще одним оружием в руках хакерских группировок, которые хотят разнообразить свои методы атак и добавить относительно неизвестный фреймворк в свой арсенал.