Havoc-malware kan zich gemakkelijk in het zicht verbergen

Cyberaanvallers vinden voortdurend nieuwe manieren om detectie te omzeilen en nietsvermoedende gebruikers uit te buiten. Een dergelijke bedreiging die golven maakt, is Havoc, een open-source command-and-control (C2)-framework dat is gebruikt in een geavanceerde phishingcampagne. In tegenstelling tot traditionele malware gebruikt Havoc geavanceerde technieken om zijn aanwezigheid te verbergen en kwaadaardige activiteiten uit te voeren onder het mom van legitieme services.

Wat is Havoc-malware?

Havoc is een post-exploitatieframework dat is ontworpen voor cybersecurityprofessionals om netwerkverdedigingen te testen. Maar net als veel legitieme beveiligingstools is het door dreigingsactoren gecoöpteerd voor kwaadaardige doeleinden. In dit geval hebben aanvallers de "Demon"-agent van Havoc aangepast om detectie te ontwijken en geheime operaties te vergemakkelijken.

Deze malware wordt verspreid via een phishingcampagne die gebruikmaakt van een methode die bekendstaat als ClickFix . De aanval begint met een e-mail met een HTML-bijlage met de titel "Documents.html." Wanneer dit bestand wordt geopend, geeft het een foutmelding weer die gebruikers instrueert om een PowerShell-opdracht te kopiëren en uit te voeren. Deze ogenschijnlijk eenvoudige stap start het infectieproces, waardoor aanvallers controle krijgen over het systeem van het slachtoffer.

Hoe werkt Havoc?

Zodra het kwaadaardige PowerShell-script wordt uitgevoerd, bereikt het een door de tegenstander gecontroleerde SharePoint-server om extra scripts te downloaden en uit te voeren. De aanval verloopt in verschillende fasen:

  1. Omgevingsdetectie: Het script controleert eerst of het in een sandbox- of gevirtualiseerde omgeving wordt uitgevoerd, een veelgebruikte techniek om analysetools voor cyberbeveiliging te omzeilen.
  2. Python-implementatie: Als er geen sandbox wordt gedetecteerd, wordt er een Python-interpreter gedownload als deze nog niet op het systeem is geïnstalleerd.
  3. Uitvoering van shellcode: Het gedownloade Python-script laadt vervolgens een stukje shellcode dat verantwoordelijk is voor het starten van de Havoc Demon-agent.
  4. Command-and-Control-communicatie: De malware maakt communicatie met zijn operators via de Microsoft Graph API , een algemeen vertrouwde service. Deze methode stelt aanvallers in staat hun kwaadaardige verkeer te vermommen als legitiem, waardoor detectie aanzienlijk lastiger wordt.

Wat is het doel van Havoc-malware?

Eenmaal geïnstalleerd op een gecompromitteerd systeem, biedt Havoc aanvallers een reeks tools om opdrachten uit te voeren, gebruikersrechten te manipuleren, gevoelige gegevens te stelen en zelfs Kerberos-aanvallen uit te voeren. Enkele van de mogelijkheden zijn:

  • Systeem- en gebruikersinformatie verzamelen
  • Bestandsbewerkingen uitvoeren, zoals het uploaden en downloaden van gegevens
  • Willekeurige opdrachten en payloads uitvoeren
  • Manipuleren van gebruikerstokens om privileges te verhogen
  • Het uitvoeren van netwerkverkenning en diefstal van inloggegevens

Gevolgen van Havoc-malware

Het gebruik van Havoc bij cyberaanvallen brengt ernstige beveiligingsimplicaties met zich mee voor zowel individuen als organisaties. In tegenstelling tot andere malware die afhankelijk is van bekende hackinginfrastructuur, maakt Havoc gebruik van algemeen vertrouwde services zoals SharePoint en de Microsoft Graph API om detectie te omzeilen. Deze aanpak stelt aanvallers in staat om hun activiteiten te combineren met legitiem netwerkverkeer, waardoor het voor traditionele beveiligingstools moeilijker wordt om kwaadaardige handelingen te identificeren en te blokkeren.

Organisaties die afhankelijk zijn van Microsoft-services voor samenwerking en gegevensopslag zijn bijzonder kwetsbaar, omdat de phishingcampagne gebruikers target met neppe Microsoft OneDrive-foutmeldingen. Nietsvermoedende werknemers die de instructies in de frauduleuze e-mail volgen, kunnen onbedoeld een volledige systeemcompromis veroorzaken.

Hoe u zich kunt beschermen tegen Havoc-malware

Gezien de geavanceerde technieken die Havoc gebruikt, moet iedereen een proactieve benadering van cybersecurity aannemen. Enkele belangrijke maatregelen om het risico te beperken zijn:

  • Gebruikersbewustzijn en training: Informeer werknemers en gebruikers over phishingtactieken, waaronder ClickFix en andere social engineeringmethoden. Moedig scepsis aan ten opzichte van ongevraagde e-mails met bijlagen of instructies om opdrachten uit te voeren.
  • E-mailbeveiligingsmaatregelen: implementeer geavanceerde e-mailfilteroplossingen om schadelijke bijlagen te detecteren en blokkeren voordat ze gebruikers bereiken.
  • Endpoint Protection: implementeer EDR-oplossingen (Endpoint Detection and Response) die ongebruikelijk gedrag geassocieerd met Havoc en vergelijkbare malware kunnen identificeren en stoppen.
  • Beperkt PowerShell-gebruik: beperk het gebruik van PowerShell-scripts door uitvoeringsbeleid af te dwingen en alleen ondertekende scripts uit te voeren.
  • Netwerkbewaking: controleer het netwerkverkeer op vreemde activiteiten, met name verbindingen met externe SharePoint-servers of abnormale interacties met de Microsoft Graph API.
  • Regelmatige updates en patches: zorg ervoor dat alle software en systemen up-to-date zijn om kwetsbaarheden te beperken die aanvallers kunnen misbruiken.

Laatste gedachten

Havoc-malware vertegenwoordigt een groeiende trend waarbij open-source beveiligingstools worden hergebruikt voor kwaadaardige activiteiten. Door gebruik te maken van vertrouwde services zoals Microsoft Graph API en SharePoint, kunnen aanvallers hun activiteiten effectief maskeren, waardoor detectie steeds moeilijker wordt. Naarmate cyberdreigingen geavanceerder worden, moeten gebruikers waakzaam blijven en robuuste beveiligingsmaatregelen nemen om zich te beschermen tegen evoluerende aanvallen.

Door te begrijpen hoe Havoc werkt en proactieve maatregelen te nemen om de risico's te beperken, kunnen individuen en bedrijven zich beter verdedigen tegen deze opkomende cyberbeveiligingsdreiging.

Tegen Willa
March 4, 2025
Malware
Nederlands
March 4, 2025
Malware

Populaire posts

Wat is het bestand OperaGXSetup.exe en is het schadelijk?

11 months geleden

Eporner.com en waarom de overmatige pop-ups riskant zijn

12 days geleden

Let op: iemand heeft u toegevoegd als herstel-e-mailfraude

10 months geleden

HackTool:Win32/Crack: een kwaadaardige bedreiging die uw...

7 months geleden

Een potentieel serieuze bedreiging: Trojan:Win32/Suschil!rfn

19 days geleden

Wat is de Packunwan Trojaanse paardendreiging en welke invloed...

11 months geleden
Nederlands
Bezig met laden...

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.