Мошенническая техподдержка внедряет модифицированный Havoc C2 в сети
3 мин
14
Модифицированный фреймворк Havoc C2 с обходом EDR активно внедряют в корпоративные сети через фальшивую техподдержку. Компания Huntress зафиксировала серию взломов в пяти компаниях-партнёрах. Везде применялась одна и та же схема: спам-письмо, звонок якобы из ИТ, многоступенчатая установка вредоноса.
В 2025 году исследователи описывали похожие кампании, связанные с Black Basta и FIN7. Они крайне напоминают нынешнюю кампанию: настройки управления в реестре Windows, активная подмена DLL, почти идентичные методы установки. При этом группировка Black Basta считается прекратившей своё существование в конце 2025 года после утечки переписки и давления правоохранительных органов.
Нынешняя атака стартует с массовой рассылки. После большого количества спама в компанию-жертву звонят якобы из технической поддержки. Сотрудникам сообщают, что нужен удалённый доступ для обновления Outlook, и убеждают разрешить QuickAssist или поставить AnyDesk. Получив доступ, злоумышленники открывают поддельную панель управления Microsoft на серверах Amazon AWS и предлагают скачать патч. При нажатии запускается скрипт, который устанавливает вредонос.
Файл якобы с патчем появляется в загрузках. Злоумышленник создаёт архив, распаковывает его в папку под видом директории Adobe ARM. В архиве находятся шесть файлов: license.key, библиотеки и исполняемый файл. В реестр Windows записываются значения, и файл запускается, активируя вредонос.
Основной метод, используемый в атаке, — подмена библиотек DLL. Исследователи обнаружили три легальные программы для загрузки вредоносных аналогов, которые находятся рядом с обычными DLL с похожими названиями. Программа загружает вредоносную библиотеку вместо нужной с использованием перенаправления функций. Она перенаправляет легальные вызовы к настоящей, а сама при этом выполняет собственный код.
Две библиотеки упакованы UPX. Они расшифровывают файл license.key алгоритмом ChaCha20 и устанавливают перехватчики функций: первый блокирует завершение процесса, второй не даёт выгружать библиотеки. Третья библиотека устроена сложнее. Её главная особенность — техники Hell's Gate и Halo's Gate для обхода EDR. Hell's Gate напрямую вызывает системные функции ядра.
Havoc — опенсорсный фреймворк для управления взломанными системами. Репозиторий заархивирован 20 февраля 2026 года, но исходник доступен для модификации. Агент Demon обходит EDR непрямыми системными вызовами. Конфигурация встроена открытым текстом. Интервал связи составляет восемь секунд. Demon считывает значения из реестра для расшифровки списка резервных серверов. Этот механизм не входит в стандартный Havoc.
После установки Demon на первом компьютере атакующие начинали захватывать другие машины в сети. Через 50 минут создавались запланированные задания на четырёх машинах. Каждое указывало на go.bat в папке обновлений Windows. Задания запускали батник при загрузке. Он собирал нагрузку, объединял в архив, распаковывал и активировал WerFault.exe.
Не все компьютеры получили Havoc через подобные задания. На остальных установили легальные программы удалённого админа. Level RMM появилась на двух машинах через час. XEOX была установлена на трёх компах через 11 часов. Таким образом злоумышленники распределили разные средства по машинам, гарантируя, что обнаружение одного не лишит доступа к остальным.
