Neues Pentester-Tool

Warnung vor Missbrauch von Nighthawk

Nighthawk ist ein neues C2-Framework, das für Red-Team-Operationen entwickelt wurde. Sicherheitsforscher warnen jedoch davor, dass das Pentest-Tool von Cyberkriminellen missbraucht werden könnte.
Von 
CSO | 23. November 2022 13:56 Uhr
Cyberkriminelle greifen gerne auf Pentester-Tools zurück, um Schutzmechanismen zu umgehen.
Cyberkriminelle greifen gerne auf Pentester-Tools zurück, um Schutzmechanismen zu umgehen.
Foto: Skorzewiak - shutterstock.com

Normalerweise sind C2-Frameworks für Pentests dazu vorgesehen, um in Unternehmen Sicherheitslücken aufzudecken. Da solche Tools IT-Schutzmechanismen umgehen können, werden sie aber auch gerne von Cyberangreifern genutzt. Beispiele dafür sind Brute Ratel und Cobalt Strike. Vor diesem Hintergrund befürchten jetzt Forscher des Sicherheitsanbieters Proofpoint, dass auch das neue Penetrationstest-Framework namens Nighthawk missbraucht werden könnte.

Nach eigenen Angaben beobachteten die Security-Forscher den ersten Einsatz des Nighthawk-Frameworks Mitte September 2022, als mehrere Test-E-Mails mit generischen Betreffzeilen wie "Just checking in" und "Hope this works2" verschickt wurden. Das Tool arbeite im Wesentlichen als Remote-Access-Trojaner und verfüge über eine robuste Liste konfigurierbarer Umgehungstechniken, die als "Opsec"-Funktionen bezeichnet werden, heißt es im Forschungsbericht.

"Im Laufe einiger Wochen wurden E-Mails mit bösartigen URLs verschickt, die zu einer ISO-Datei führten, die den Nighthawk-Loader als ausführbare PE32+-Datei enthielt" beschreiben die Proofpoint-Forscher. Zunächst dachten sie, dass es sich um einen Angriffsversuch handelt. Doch anhand von Recherchen in öffentlich zugänglichen Quellen stellten sie fest, dass es sich bei der übermittelten Payload um ein Penetrationstestsystem handelte.

Angreifer nutzen Funktionen für eigene Zwecke

Die Sicherheitsexperten gehen jedoch davon aus, dass Nighthawk künftig in Kampagnen von Cyberkriminellen auftauchen wird. Zum Beispiel, wenn das Framework bekannter wird oder wenn Angreifer nach neuen, leistungsfähigeren Tools suchen, die sie für ihre Zwecke einsetzen können. "In der Vergangenheit haben Bedrohungsakteure aus verschiedenen Gründen legale Tools in ihr Arsenal integriert. Sie wurden beispielsweise verwendet, um die Zuordnung zu erschweren, bestimmte Funktionen wie Umgehungsfunktionen für die Erkennung von Endpunkten zu nutzen oder einfach aufgrund der Benutzerfreundlichkeit, Flexibilität und Verfügbarkeit", erklären die Forscher.

Missbrauch von Pentesting-Tools steigt

Der Missbrauch von Pentesting-Tools ist kein Novum. 2020 stellteProofpoint fest, dass die Nutzung von Cobalt Strike durch Bedrohungsakteure gegenüber dem Vorjahr um 161 Prozent gestiegen ist.

"Diesem Anstieg folgte schnell die Einführung von Sliver - einer quelloffenen, plattformübergreifenden Gegnersimulation und Red-Team-Plattform ", so das Sicherheitsunternehmen. Sliver wurde Proofpoint zufolge erstmals im Jahr 2019 veröffentlicht und war bis Dezember 2020 in die Taktiken, Techniken und Verfahren der Bedrohungsakteure integriert worden - ein Zeitplan, der möglicherweise in Zukunft mit Nighthawk eintreten könnte, befürchten die Security-Experten.

Und erst im Sommer 2022 entdeckte Microsoft, dass Cyberkriminelle mit unterschiedlichen Fähigkeiten, Ressourcen und Motivationen Sliver in ihre Kampagnen integriert haben.

Tipp: Sie möchten regelmäßig Infos zum Thema IT-Sicherheit erhalten? Dann abonnieren Sie doch einfach unseren kostenlosen Newsletter.

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.