Потенциальные связи между решением «криминальное ПО как услуга» (Caas) на основе подписки и взломанной копией Cobalt Strike были установлены в том, что, как подозревают исследователи, предлагается в качестве инструмента для своих клиентов для проведения действий после эксплуатации.

Прометей, как называется служба, впервые стала известна в августе 2021 года, когда компания Group-IB, занимающаяся кибербезопасностью, раскрыла подробности кампаний по распространению вредоносного программного обеспечения, проводимых киберпреступными группами для распространения Campo Loader, Hancitor, IcedID, QBot, Buer Loader и SocGholish в Бельгии и Соединенные штаты

Стоит 250 долларов в месяц и продается на российских подпольных форумах как система направления трафика (TDS), позволяющая осуществлять массовое фишинговое перенаправление на мошеннические целевые страницы, предназначенные для развертывания полезной нагрузки вредоносного ПО в целевых системах.

«Prometheus можно считать полноценным сервисом/платформой, которая позволяет группам угроз легко распространять свои вредоносные программы или фишинговые операции», — BlackBerry Research and Intelligence Team. — сказал в отчете, опубликованном The Hacker News. «Основные компоненты Prometheus включают в себя паутину вредоносной инфраструктуры, рассылку вредоносной электронной почты, незаконное размещение файлов через законные службы, перенаправление трафика и возможность доставки вредоносных файлов».

Как правило, перенаправление осуществляется из одного из двух основных источников, а именно с помощью вредоносной рекламы (также известной как вредоносная реклама) на законных веб-сайтах или через веб-сайты, которые были изменены для вставки вредоносного кода.

В случае с Prometheus цепочка атак начинается со спам-сообщения, содержащего HTML-файл или страницу Google Docs, которая при взаимодействии перенаправляет жертву на скомпрометированный веб-сайт, на котором размещен бэкдор PHP, который снимает отпечатки пальцев с компьютера, чтобы определить, «обслуживать ли жертвы вредоносным ПО или перенаправить их на другую страницу, которая может содержать фишинговую аферу».

Говорят, что самая ранняя активность, связанная с операторами службы, которые на хакерских форумах известны под именем «Ma1n», началась в октябре 2018 года, когда автор был связан с другими незаконными инструментами, предлагающими высококачественные перенаправления и комплекты PowerMTA для рассылки корпоративным сообщениям. почтовых ящиков, прежде чем выставить Prometheus TDS на продажу 22 сентября 2020 года.

Это не все. BlackBerry также обнаружила совпадения между действиями, связанными с Prometheus, и незаконной версией Кобальт Страйк программное обеспечение для моделирования злоумышленников и эмуляции угроз, что повышает вероятность того, что копия «распространяется самими операторами Prometheus».

«Возможно, что кто-то, связанный с Prometheus TDS, поддерживает эту взломанную копию и предоставляет ее при покупке», — говорят исследователи. «Также возможно, что эта взломанная установка может быть предоставлена ​​как часть стандартной установки playbook или виртуальной машины (VM)».

Это подтверждается тем, что ряд злоумышленников, в том числе DarkCrystal RAT, Фикерстилер, FIN7, Какботи IceID, а также картели вымогателей, такие как REvil, Ryuk (Wizard Spider), БлэкМатер, и Cerber использовали взломанную копию в течение последних двух лет.

Кроме того, тот же Cobalt Strike Beacon также наблюдался в связи с действиями, связанными с брокером начального доступа, отслеживаемым как Zebra2104, услугами которого пользуются такие группы, как StrongPity, MountLocker и Phobos, для своих собственных кампаний.

«Хотя TDS не является новой концепцией, уровень сложности, поддержка и низкие финансовые затраты подтверждают теорию о том, что эта тенденция, вероятно, усилится в ближайшем будущем ландшафта угроз», — отметили исследователи.

«Объем групп, использующих такие предложения, как Prometheus TDS, говорит об успехе и эффективности этих незаконных инфраструктурных услуг по найму, которые, по сути, являются полноценными предприятиями, которые поддерживают злонамеренную деятельность групп, независимо от их размера, уровня. ресурсов или мотивов».

Источник: https://thehackernews.com/2022/01/russian-hackers-heavily-using-malicious.html