夜鹰很可能成为黑客；钴打击后的新型开采后工具

一个新生的合法渗透测试框架，称为夜鹰很可能会因其类似“钴击”的能力而引起威胁行为者的注意。

企业安全公司Proofpoint表示，它在2022年9月中旬检测到一个红色团队使用了该软件，该团队使用通用主题行发送了多封测试邮件，如“Just checkin”和“Hope this works2”

然而，“证据点”研究人员亚历山大·劳什（Alexander Rausch）在一篇报道中表示，没有迹象表明，“夜鹰”的泄露或破解版本正在被野外的威胁行为者武器化。

2021 12月，由一家名为MDSec的公司推出的夜鹰，类似于其对手钴击、银条和猛兽拉特尔，为对手威胁模拟提供了一个红色团队工具集。它的许可证为£；每个用户一年7500美元（或10000美元）。

MDSec指出：“夜鹰是市场上最先进、最规避的指挥和控制框架”。“夜鹰是一种可塑性很强的植入物，旨在规避和规避在成熟、高度监控的环境中经常出现的现代安全控制”。

根据这家总部位于桑尼维尔的公司的说法，上述电子邮件中包含陷阱URL，当点击时，会将收件人重定向到包含夜鹰加载器的ISO图像文件。

混淆的加载程序附带了加密的夜鹰有效载荷，这是一个基于C++的DLL，它使用了一组复杂的功能来对抗检测并在雷达下飞行。

特别值得注意的是，这些机制可以防止端点检测解决方案收到有关当前进程中新加载的DLL的警报，并通过实现自加密模式来逃避进程内存扫描。

当记者联系到MDSec发表评论时，MDSec告诉《黑客新闻》，它不知道夜鹰被用于非法活动的任何情况，许可证只分发给少数经过严格审查的客户。

随着流氓演员已经利用破解版的《钴击》和其他游戏来推进其开发后的活动，夜鹰也可能会看到类似的团体采用“多样化方法，并为其武器库添加一个相对未知的框架”

事实上，最近几个月，与“钴击”和“银弹”相关的高检出率已经导致中国犯罪分子设计出了曼朱萨卡和炼金术士等替代性攻击框架。

Rausch说：“夜鹰是一个成熟而先进的商业指挥控制框架，用于合法的红队行动，专门为逃避侦查而构建，而且它做得很好”。

“先进的对手，包括那些与国家利益结盟并从事间谍活动的对手，历史性地采用了Brute Ratel等工具，为未来可能的威胁态势发展提供了模板”。