Эксперты из компании Proofpoint выпустили отчет, посвященный продвинутому C2-фреймворку Nighthawk. Понаблюдав за тем, как фреймворк в сентябре 2022 года использовала некая red team, исследователи сделали вывод, что Nighthawk может понравиться и преступникам.
Nighthawk разрабатывает и продает европейская компания MDSec, которая предлагает своим клиентам инструменты и услуги для моделирования поведения злоумышленников и тестирования на проникновение.
«Nighthawk, по сути, представляет собой коммерчески распространяемый троян удаленного доступа (RAT), похожий на другие фреймворки, такие как Brute Ratel и Cobalt Strike. Как и они, Nighthawk может быстро набрать популярность среди злоумышленников, желающих разнообразить свои атаки и добавить в свой арсенал относительно неизвестный фреймворк», — говорится в отчете Proofpoint.
Эксперты пишут, что в сентябре они наблюдали применением Nighthawk red team неизвестной компании, но пока не обнаружили никаких признаков взломанных или «слитых» версий Nighthawk, которые могли бы применять злоумышленники. Тем не менее, компания рекомендует специалистам по реагированию на инциденты начинать искать признаки применения Nighthawk хакерам.
«Исследователи Proofpoint ожидают, что Nighthawk будет использоваться в кампаниях злоумышленников, по мере того, как инструмент станет более известным, или когда злоумышленники начнут искать новые, более эффективные инструменты», — говорят исследователи.
В ответ на это представители MDSec уже опубликовали собственное заявление, в котором объясняют, что эксперты Proofpoint не связывались с ними до своей публикации и зачем-то привлекают к Nighthawk внимание злоумышленников, описывая некоторые функции инструмента (о которых стало известно, в том числе с помощью реверс-инжиниринга).
«Proofpoint делает необоснованные и спекулятивные прогнозы о том, что Nighthawk может быть использован злоумышленниками в будущем. Это привело к тому, что нам задают множество вопросов в Twitter и по электронной почте, спрашивая, какие меры предосторожности мы принимаем при распространении Nighthawk», — пишут в MDSec.
В компании подчеркивают, что тщательно проверяют всех покупателей лицензий Nighthawk, продают свой продукт только в определенные страны (ЕС, Австралия, Канада, Япония, Новая Зеландия, Норвегия, Швейцария и США), а также не распространяют пробные версии Nighthawk, так как это не раз приводило к злоупотреблению другими похожими продуктами в прошлом.