Хакер #305. Многошаговые SQL-инъекции
Сразу несколько исследователей сообщают, что набор эксплоитов Angler, популярнейший инструмент среди киберпреступников, по всей видимости, свернул свою деятельность. Операторы серьезных вредоносных кампаний массово переходят на эксплоит киты Neutrino, RIG и Sundown.
Вряд ли кому-то из наших постоянных читателей не знакомо название Angler. Данный эксплоит кит существует с 2013 года, постоянно адаптируется и прирастает новыми уязвимостями и багами. Angler хорошо известен в хакерской среде, так как является одним из наиболее агрессивных и эффективных механизмов проникновения на машину жертвы. Он ищет любые бреши и использует для атак HTML, JavaScript, Flash, Silverlight, Java и так далее, при этом стараясь избегать обнаружения антивирусным ПО.
Джером Сегура (Jerome Segura) эксперт компании Malwarebytes, сообщает, что с эксплоит китом Angler что-то произошло. Похоже, популярный инструмент приказал долго жить, и теперь хакеры экстренно меняют механизмы доставки малвари и переходят на использование Neutrino.
Значительный рост активности Neutrino начал демонстрировать на прошлой неделе. Так, эксплоит кит теперь распространяет шифровальщика CryptXXX и используется для вредоносной кампании EITest. Ранее всем этим занимался Angler. Также Сегура пишет, что массовая кампания по распространению вредоносной рекламы, замеченная Malwarebytes еще в мае 2016 года, по-прежнему продолжается, но злоумышленники и в этом случае перестали использовать Angler и переключились на Neutrino. Исследователь утверждает, что даже те хакеры, которые никогда не пользовались ничем, кроме Angler, тоже «изменили» любимому инструменту и перешли на другие решения.
Аналогичные наблюдения были сделаны и независимыми экспертами Бредом Дунканом (Brad Duncan), автором блога Malware Traffic Analysis, и Kaffeine, автором ресурса Malware don't need Coffee. Они тоже заметили исчезновение Angler со всех радаров. Kaffeine даже приводит точную дату: набор эксплоитов пропал из поля зрения исследователей 7 июня 2016 года.
Kaffeine пишет, что периоды неактивности случались у Angler и ранее, но обычно это означало, что у операторов набора эксплоитов отпуск или они занимаются какими-то серьезными изменениями на серверах. Но на этот раз даже GooNky, одна из крупнейших хакерских команд, которая всегда пользовалась исключительно услугами Angler и терпеливо пережидала все периоды оффлайна, перешла на Neutrino.
Еще один интересный штрих: Kaffeine провел настоящее исследование и выяснил, что недавно стоимость недельной подписки на Neutrino в даркнете возросла вдвое и теперь составляет $1500. Судя по всему, конкуренты стараются не упустить момент, ожидают приток новых покупателей и хотят заработать на бывших клиентах Angler как можно больше. Ранее авторы Neutrino уже демонстрировали похожее поведение, когда в 2013 году арестовали разработчика популярного набора эксплоитов Blackhole, и одним конкурентом стало меньше.
Всем исследователям не дает покоя новость о недавней совместной операции ФСБ и МВД России. 1 июня 2016 года, при поддержке специалистов «Лаборатории Касперского» и Сбербанка, были задержаны более 50 человек из 15 регионов России. В официальных пресс-релизах сообщалось, что все эти люди занимались разработкой банковского трояна Lurk, благодаря которому они вывели со счетов российских финансовых учреждений более 3 млрд рублей за последние пять лет.
Ранее серию массовых арестов уже пытались связать с исчезновением одного из крупнейших ботнетов мира — Necurs. Теперь исследователи выдвигают теорию о том, что, возможно, авторы Lurk были связаны с разработкой эксплоит кита, так как банкер долгое время распространялся именно посредством Angler.
Фото: fishskulls.com