Cyberkriminelle lieben es, kommerzielle Produkte für ihre Zwecke zu nutzen, die eigentlich zum Schutz gegen sie entwickelt wurden. Besonders attraktiv sind für sie Frameworks, die IT-Security-Dienstleiter für Penetrationstests nutzen, um Schwachstellen in den IT-Sicherheitsmaßnahmen ihrer Kunden aufzudecken.
Per definitionem bieten sich solche Frameworks für den Missbrauch durch die „dunkle Seite“ an, weil sie dazu ausgelegt sind, IT-Sicherheitsmechanismen zu umgehen. Kommerzielle Frameworks sind vergleichsweise einfach in der Anwendung, flexibel und allemal bequemer, als ein Tool ähnlicher Funktionalität selbst zu entwickeln.
In der Vergangenheit haben Cyberkriminelle vor allem Pentest-Frameworks wie Brute Ratel und Cobalt Strike erfolgreich für ihre Zwecke genutzt. Im September haben die Security-Experten von Proofpoint zum ersten Mal eine relativ neues Framework namens Nighthawk im Einsatz beobachtet. Nighthawk wurde Ende 2021 von MDSec auf den Markt gebracht und ist im Grunde ein kommerziell vertriebener Remote Access Trojaner (RAT). Wahrscheinlich erfolgte der von Proofpoint beobachtete Einsatz legitim und bestimmungsgemäß durch ein sogenanntes „Red Team“, im Auftrag eines Unternehmens. Es ist davon auszugehen, dass auch Nighthawk in Zukunft, ähnlich wie Brute Ratel und CobaltStrike, von Cyberkriminellen missbraucht wird. Um IT-Security-Teams die Möglichkeit zu geben, bösartige Einsätze von Nighthawk zu erkennen und abzuwehren, haben die Experten von Proofpoint das Framework untersucht und ihre Befunde hier veröffentlicht.
Sherrod DeGrippo, Senior Director Threat Research and Detection bei Proofpoint, kommentiert: „Legitime Tools wie das Pentesting Framework Nighthawk sind bei Cyberkriminellen unterschiedlicher Fähigkeitslevel und Motivationen sehr beliebt. Damit lassen sich Zuordnungen erschweren, Lösungen zum Schutz von Endgeräten leichter umgehen und die Arbeit von Sicherheitsforschern noch schwieriger machen, als sie ohnehin ist. Der Cybersicherheits-Community hilft jede Erkenntnis, sich auf die nächste potenzielle Bedrohung vorzubereiten. Auch bei den Tools, die mit den besten Absichten entwickelt wurden, muss man einen ausführlichen Blick unter die Motorhaube werfen.“
Wichtige Erkenntnisse zu Nighthawk
- Nighthawk ist ein fortschrittliches C2-Framework, das durch kommerzielle Lizenzierung für Red-Team-Operationen gedacht ist.
- Proofpoint-Forscher beobachteten den ersten Einsatz des Frameworks im September 2022, wahrscheinlich durch ein Red Team.
- Derzeit gibt es keine Hinweise darauf, dass geleakte Versionen von Nighthawk sich bereits im praktischen Einsatz von Cyberberkriminellen befinden.
- Das Tool arbeitet im Wesentlichen als Remote-Access-Trojaner und verfügt über eine robuste Liste konfigurierbarer Umgehungstechniken, die als „Opsec“-Funktionen bezeichnet werden.
- Die Forscher von Proofpoint gehen davon aus, dass Nighthawk in Kampagnen von Cyberkriminellen auftauchen wird, wenn das Tool bekannter wird oder wenn Angreifer nach neuen, leistungsfähigeren Tools suchen, die sie für ihre Zwecke einsetzen können.
Missbrauchsgeschichte von Pentest-Tools
Zwischen 2019 und 2020 beobachtete Proofpoint einen Anstieg von 161 Prozent bei der Nutzung von CobaltStrike durch Kriminelle. Diesem Anstieg folgte die Einführung von Sliver, einer plattformübergreifenden Open-Source-Angriffssimulation und Red-Team-Plattform. Sliver wurde erstmals 2019 veröffentlicht und war bis Dezember 2020 Teil der TTP (Tactics, Techniques & Procedures) von Cyberkriminellen – ein Zeitrahmen, der in Zukunft auch für Nighthawk gelten könnte. Ende 2021 hat Proofpoint einen ersten Access Facilitator für Ransomware-Gruppen entdeckt, die Sliver nutzen. Und erst im Sommer 2022 haben andere Sicherheitsforscher festgestellt, dass eine Reihe von Cyberkriminellen mit unterschiedlichen Fähigkeiten, Ressourcen und Motivationen Sliver sowie Brute Ratel, in ihre Kampagnen integriert haben, ein weiteres Red-Team- und Angriffssimulationstool.
Testen, Testen…1…2…3
Die Proofpoint-Experten beobachteten den ersten Einsatz des Nighthawk-Frameworks ab Mitte September 2022, als mehrere Test-E-Mails mit generischen Betreffzeilen wie „Just checking in“ und „Hope this works2“ verschickt wurden. Im Laufe einiger Wochen wurden E-Mails mit bösartigen URLs verschickt, die, wenn sie angeklickt wurden, zu einer ISO-Datei führten, die den Nighthawk-Loader als ausführbare PE32+-Datei enthielt (eine ausführliche technische Analyse findet sich im Blog von Proofpoint). Die Forscher von Proofpoint konnten anhand von Recherchen in öffentlich zugänglichen Quellen, einschließlich des Blogs von MDSec über die neueste Version des Tools, feststellen, dass es sich bei der übermittelten Payload um das Nighthawk-Penetrationstestsystem handelte.
www.proofpoint.com