Το Sundown Exploit Kit (EK), το οποίο προσπαθεί να καλύψει το κενό που άφησαν τα Angler και Nuclear EK, δεν είναι τίποτα περισσότερο από μια συλλογή αντιγραμμένων exploits, σύμφωνα με την ομάδα SpiderLabs της Trustave.
Το Sundown, που πρώτη φορά επισημάνθηκε τον Ιούνιο του 2015, ήταν για μεγάλο χρονικό διάστημα ένας “μικρός παίκτης” στην αγορά των EK, πάντα κατώτερο του ανταγωνισμού, κάτι που ακόμη και οι δημιουργοί του το γνώριζαν και σπάνια έμπαιναν στον κόπο να ενημερώσουν το εργαλείο τους.
Τα πράγματα άλλαξαν μετά την εξαφάνιση των Angler και Nuclear από την αγορά αυτή την άνοιξη, κάτι που επισημάνθηκε από την Zscaler πριν από τρεις μήνες, τον Ιούνιο, όταν η εταιρεία ανακοίνωσε μια απότομη αύξηση δραστηριότητας από τους δημιουργούς του Sundown, το Γιουγκοσλαβικό Δίκτυο Επιχειρήσεων (Yugoslavian Bussiness Network – YBN).
Τρεις μήνες αργότερα, η Trustwave αναφέρει ότι αυτή η αύξηση στη δραστικότητα απέδωσε ένα ενισχυμένο Exploit kit, αλλά όχι με τον τρόπο πολλοί περίμεναν.
Αντί να αναπτύξουν τα δικά τους exploits, η ομάδα του Sundown απλώς έκλεψε exploits από άλλα EKs ή αντέγραψε κάποια που ήταν διαθέσιμα δωρεάν στο διαδίκτυο.
Σύμφωνα με μια τεχνική ανάλυση της Sundown exploitation chain, οι Trustwave ερευνητές βρήκαν τέσσερα διαφορετικά exploits:
Λένε ότι το YBN έκλεψε πρώτα από το Angler (IE exploit – CVE-2015-2419), το δεύτερο κλάπηκε από την RIG EK (Silverlight exploit – CVE-2016-0034), το τρίτο το πήρε από την Hacking Team data dump (Flash exploit – CVE-2015-5119) και το τέταρτο το έκλεψαν από το Magnitude EK (Flash exploit – CVE-2016-4117).
Η ομάδα του Angler, η οποία ήταν στην πραγματικότητα μια ομάδα εγκληματιών που αρχικά ανέπτυξαν το Lurk banking trojan, ήταν διάσημη για την προσθήκη πάντα νέων exploits στα EK τους, από τότε που εμφανίστηκαν στην αγορά.
Σχεδόν σίγουρα, η ομάδα του YBN δεν θα αποκτήσει νέους πελάτες, εκτός αν αρχίσουν να προσφέρουν καλύτερα exploits, αλλά και νεότερα. Η ομάδα χρειάζεται και ένα μεγαλύτερο οπλοστάσιο, δεδομένου ότι 4-5 exploits είναι δύσκολο να καλύψουν όλες τις βάσεις για μια σοβαρή malvertising καμπάνια.
Η ανιαρή προσπάθεια του Sundown είναι και ο λόγος για τον οποίο σε μια πρόσφατη Zscaler έκθεση αναφέρει τα Neutrino και RIG ως τα δύο κορυφαία exploits, με τα Magnitude και Sundown να μένουν πίσω στην κατάταξη.
Σύμφωνα με την Zscaler, τους τελευταίους μήνες, το Neutrino ως επί το πλείστον χρησιμοποιείται για την παράδοση των Gamarue malware dropper, Tofsee backdoor trojan και CryptXXX και CripMIC ransomware.
Από την άλλη πλευρά, το Rig διανέμει το Tofsee, το Cerber ransomware, καθώς και τα Gootkit και Vawtrack banking trojans. Το Magnitude συνέχισε να εξαπλώνει το Cerber ransomware, όπως έκανε πάντα.
