Οι ερευνητές ασφαλείας εντόπισαν μια νέα υπηρεσία που ονομάζεται Dark Utilities που παρέχει έναν εύκολο και φθηνό τρόπο στους χάκερ να δημιουργήσουν ένα κέντρο command and control (C2) για τις κακόβουλες λειτουργίες τους.
Δείτε επίσης: Γερμανία: Η DIHK χτυπήθηκε από «μαζική» κυβερνοεπίθεση
Η υπηρεσία Dark Utilities παρέχει στους απειλητικούς φορείς μια πλατφόρμα που υποστηρίζει payloads που βασίζονται σε Windows, Linux και Python και εξαλείφει την προσπάθεια που σχετίζεται με την υλοποίηση ενός καναλιού επικοινωνίας C2.
Ένας C2 server είναι ο τρόπος με τον οποίο οι adversaries ελέγχουν το malware τους, στέλνοντας εντολές, configurations και νέα payloads και λαμβάνοντας δεδομένα που συλλέγονται από παραβιασμένα συστήματα.
Η λειτουργία Dark Utilities είναι μια «C2-as-a-service» (C2aaS) που διαφημίζεται ως αξιόπιστη, ανώνυμη υποδομή C2 που έχει όλες τις απαιτούμενες πρόσθετες λειτουργίες με αρχική τιμή μόλις 9,99 EUR.
Δείτε επίσης: Χάκερ εκβιάζουν την εταιρεία QuestionPro μετά από υποτιθέμενη κλοπή δεδομένων
Μια αναφορά από τη Cisco Talos αναφέρει ότι η υπηρεσία έχει περίπου 3.000 ενεργούς συνδρομητές, κάτι που θα απέφερε στους παρόχους έσοδα περίπου 30.000 ευρώ.
Η υπηρεσία Dark Utilities εμφανίστηκε στις αρχές του 2022 και προσφέρει πλήρεις δυνατότητες C2 τόσο στο δίκτυο Tor όσο και στο clear web. Φιλοξενεί payloads στο Interplanetary File System (IPFS) – ένα σύστημα decentralized network για την αποθήκευση και την κοινή χρήση δεδομένων.
Υποστηρίζονται πολλαπλές αρχιτεκτονικές και φαίνεται ότι οι χειριστές σχεδιάζουν να επεκτείνουν τη λίστα για να παρέχουν ένα μεγαλύτερο σύνολο επιλογών συσκευών που θα μπορούσαν να στοχευθούν.
Οι ερευνητές της Cisco Talos λένε ότι η επιλογή ενός λειτουργικού συστήματος δημιουργεί ένα command string που “οι απειλητικοί παράγοντες συνήθως ενσωματώνουν σε scripts PowerShell ή Bash για να διευκολύνουν την ανάκτηση και την εκτέλεση του payload σε μηχανές-θύμα”.
Το επιλεγμένο payload καθορίζει και το persistence στο στοχευμένο σύστημα δημιουργώντας ένα κλειδί μητρώου στα Windows ή ένα Crontab entry ή μια υπηρεσία Systemd στο Linux.
Σύμφωνα με τους ερευνητές, το administrative panel διαθέτει πολλαπλές ενότητες για διάφορους τύπους επιθέσεων, συμπεριλαμβανομένης του denial-of-service (DDoS) και του cryptojacking.
Με δεκάδες χιλιάδες απειλητικούς παράγοντες ήδη εγγεγραμμένους και τη χαμηλή τιμή, το Dark Utilities είναι πιθανό να προσελκύσει ένα ακόμη μεγαλύτερο πλήθος λιγότερο εξειδικευμένων χάκερ.
Δείτε επίσης: Κρίσιμη ευπάθεια RCE επηρεάζει 29 μοντέλα δρομολογητών DrayTek
Η Cisco Talos έχει συγκεντρώσει indicators of compromise για τα Dark Utilities που θα μπορούσαν να βοηθήσουν τις εταιρείες να αμυνθούν από malware που χρησιμοποιούν αυτήν την πλατφόρμα.
Πηγή πληροφοριών: bleepingcomputer.com
