นักวิจัยของ Zscaler บริษัทด้านความปลอดภัย ได้เผยแพร่รายงานการพบการเปลี่ยนแปลงเครื่องมือการโจมตีของกลุ่ม Hacker โดยพบการใช้เครื่องมือ open-source command and control (C2) framework ที่มีชื่อว่า Havoc แทนที่เครื่องมือเดิมอย่าง Cobalt Strike และ Brute Ratel

Havoc เป็นเครื่องมือ open-source command and control (C2) framework ที่มีโมดูลหลากหลายซึ่งช่วยให้ Pentester และ hacker สามารถทำงานต่าง ๆ บนอุปกรณ์ที่ถูกโจมตีได้ รวมถึงการดำเนินการคำสั่ง, การจัดการ process, การดาวน์โหลดเพย์โหลดเพิ่มเติม, การจัดการ Windows token และการดำเนินการจาก shellcode โดยทั้งหมดนี้สามารถทำได้ ผ่าน web-based management console ซึ่งจะช่วยให้ hacker สามารถมองเห็นอุปกรณ์ เหตุการณ์ และ Output จากเครื่องเหยื่อได้ทั้งหมด โดยความสามารถที่น่าสนใจที่สุดของ Havoc คือการทำงาน cross-platform และหลบเลี่ยงการตรวจจับจาก Microsoft Defender บนอุปกรณ์ Windows 11 โดยใช้วิธีการต่าง ๆ เช่น sleep obfuscation, return address stack spoofing และ indirect syscalls เป็นต้น

การค้นพบ Havoc

ทีมวิจัยจาก Zscaler ThreatLabz ได้ตรวจพบว่า shellcode loader ที่ถูกทิ้งไว้บนระบบที่โดนโจมตีจะไปปิดการใช้งาน Event Tracing for Windows (ETW) และเพย์โหลดสุดท้ายของ Havoc Demon จะถูกโหลดโดยไม่มีส่วนหัวของ DOS และ NT เพื่อหลบเลี่ยงการตรวจจับ รวมไปถึง framework นี้ยังถูกปรับใช้ผ่านแพ็คเกจ npm ที่เป็นอันตราย (Aabquerys) อีกด้วย

โดย Demon.