Potentiële verbindingen tussen een op abonnementen gebaseerde crimeware-as-a-service (Caas)-oplossing en een gekraakte kopie van Cobalt Strike zijn vastgesteld in wat de onderzoekers vermoeden dat het wordt aangeboden als een hulpmiddel voor zijn klanten om post-exploitatie-activiteiten te organiseren.
Prometheus, zoals de dienst heet, kwam voor het eerst aan het licht in augustus 2021 toen cyberbeveiligingsbedrijf Group-IB details openbaarde van kwaadaardige softwaredistributiecampagnes die werden ondernomen door cybercriminele groepen om Campo Loader, Hancitor, IcedID, QBot, Buer Loader en SocGholish in België te verspreiden en de VS
Het kost $ 250 per maand en wordt op Russische ondergrondse fora op de markt gebracht als een traffic direction system (TDS) om phishing-omleiding op grote schaal mogelijk te maken naar malafide bestemmingspagina's die zijn ontworpen om malware-payloads op de beoogde systemen te implementeren.
"Prometheus kan worden beschouwd als een complete service/platform waarmee bedreigingsgroepen hun malware- of phishing-activiteiten gemakkelijk kunnen verspreiden", zegt BlackBerry Research and Intelligence Team. zei in een rapport gedeeld met The Hacker News. "De belangrijkste componenten van Prometheus zijn een web van kwaadaardige infrastructuur, kwaadaardige e-maildistributie, illegale bestandshosting via legitieme services, verkeersomleiding en de mogelijkheid om kwaadaardige bestanden te leveren."
Meestal wordt de omleiding door een van de twee hoofdbronnen geleid, namelijk met behulp van kwaadaardige advertenties (ook wel malvertising genoemd) op legitieme websites, of via websites waarmee is geknoeid om kwaadaardige code in te voegen.
In het geval van Prometheus begint de aanvalsketen met een spam-e-mail met een HTML-bestand of een Google Docs-pagina die, bij interactie, het slachtoffer doorverwijst naar een gecompromitteerde website die een PHP-backdoor host die vingerafdrukken op de machine neemt om te bepalen of “om de slachtoffer met malware of stuur ze om naar een andere pagina die mogelijk een phishing-zwendel bevat.”
De vroegste activiteit in verband met de exploitanten van de service, die op hackforums de naam "Ma1n" dragen, zou zijn begonnen in oktober 2018, waarbij de auteur is gekoppeld aan andere illegale tools die hoogwaardige omleidingen en PowerMTA-kits bieden voor mailing naar zakelijke brievenbussen, alvorens Prometheus TDS op 22 september 2020 te koop aan te bieden.
Dat is niet alles. BlackBerry vond ook overlappingen tussen aan Prometheus gerelateerde activiteiten en een onwettige versie van de Kobaltaanval tegenstander simulatie en bedreiging emulatie software, waardoor de mogelijkheid wordt vergroot dat de kopie wordt "verspreid door de Prometheus-operators zelf".
"Het is mogelijk dat iemand die verbonden is met de Prometheus TDS deze gekraakte kopie onderhoudt en bij aankoop ter beschikking stelt", aldus de onderzoekers. "Het is ook mogelijk dat deze gekraakte installatie wordt geleverd als onderdeel van een standaard playbook of een installatie van een virtuele machine (VM)."
Dit wordt gestaafd door het feit dat een aantal dreigingsactoren, waaronder DarkCrystal RAT, Ficker steler, FIN7, Qakbot, en IceID, evenals ransomwarekartels zoals REvil, Ryuk (Wizard Spider), zwarte materie, en Cerber, hebben de gekraakte kopie in kwestie de afgelopen twee jaar gebruikt.
Bovendien is hetzelfde Cobalt Strike Beacon ook waargenomen in combinatie met activiteiten die verband houden met een initiële toegangsmakelaar die wordt gevolgd als Zebra2104, wiens diensten zijn gebruikt door groepen als StrongPity, MountLocker en Phobos voor hun eigen campagnes.
"Hoewel TDS's geen nieuw concept zijn, voegen het niveau van complexiteit, ondersteuning en lage financiële kosten geloofwaardigheid toe aan de theorie dat dit een trend is die waarschijnlijk zal toenemen in de nabije toekomst van het bedreigingslandschap", merkten de onderzoekers op.
“Het aantal groepen dat gebruikmaakt van aanbiedingen zoals de Prometheus TDS, spreekt over het succes en de doeltreffendheid van deze illegale infrastructuur voor verhuurdiensten, die in wezen volwaardige ondernemingen zijn die de kwaadaardige activiteiten van groepen ondersteunen, ongeacht hun grootte, niveau van middelen of motieven.”
Bron: https://thehackernews.com/2022/01/russian-hackers-heavily-using-malicious.html
