Cyberattaque : Proofpoint signale le détournement possible de Nighthawk

0
262

En septembre 2022, les chercheurs de la société Proofpoint, l’un des leaders dans les domaines de la cybersécurité et la conformité, ont identifié l’apparition d’un nouveau test d’intrusion appelé Nighthawk. 

Lancé à la fin de l’année 2021 par MDSec, Nighthawk est un cheval de Troie d’accès à distance (RAT) similaire à d’autres outils tels que Brute Ratel et Cobalt Strike. Comme ces derniers, Nighthawk pourrait rapidement être adopté par les cybercriminels soucieux de diversifier leurs stratégies d’attaque, et d’ajouter un outil encore peu connu à leur arsenal. 

Les chercheurs de Proofpoint ont donc enquêté sur cet outil qui représente une nouvelle opportunité pour les cybercriminels. Les principaux points à retenir sont les suivants :

  • Nighthawk est un cadre C2 avancé destiné aux opérations des Red Teams par le biais de licences commerciales. 
  • Les chercheurs de Proofpoint ont observé l’utilisation initiale de ce cadre par une Red Team potentielle en septembre 2022.
  • À l’heure actuelle, rien n’indique que des versions de Nighthawk ayant fait l’objet de fuites soient utilisées par des acteurs de la menace.
  • L’outil fonctionne essentiellement comme un cheval de Troie d’accès à distance et dispose d’une liste solide de techniques d’évasion configurables qui sont référencées comme des fonctions “OpSec” dans l’ensemble de son code.
  • Les chercheurs de Proofpoint s’attendent à ce que Nighthawk apparaisse dans les campagnes des acteurs de la menace à mesure que l’outil devient plus largement reconnu ou que ces derniers recherchent de nouveaux outils plus performants à utiliser contre leurs cibles.

Sherrod DeGrippo, Vice Présidente de l’équipe Threat Research & Detection chez Proofpoint précise :

« les outils légitimes, comme le cadre de test d’intrusion Nighthawk, sont les favoris des acteurs de la menace, quels que soient leurs niveaux de compétence et leurs motivations. Ils peuvent compliquer l’attribution, faciliter l’évasion de la détection des points d’accès et, de manière générale, rendre le travail des chercheurs en sécurité plus difficile qu’il ne l’est déjà. La communauté élargie a besoin de tous les avantages qu’elle peut obtenir pour se préparer à la prochaine menace potentielle et cela signifie qu’il faut plonger en profondeur, même dans les outils créés avec les meilleures intentions du monde. »