Эксперты компании Trustwave SpiderLabs изучили эксплоит кит Sundown, впервые обнаруженный специалистами еще в 2015 году. После исчезновения с «рынка» лидеров данной области, эксплоит китов Angler и Nuclear, авторы Sundown начали активно развивать свою разработку, очевидно, стремясь занять освободившуюся нишу. Однако аналитики Trustwave SpiderLabs пишут, что на самом деле Sundown попросту ворует чужие эксплоиты, а лидирующие позиции в этой сфере по-прежнему занимают наборы Neutrino и RIG.
Подозрительную активность авторов Sundown первыми заметили специалисты компании Zscaler. В июне 2016 года Sundown вдруг начал обновляться, хотя раньше разработчики явно не стремились поддерживать актуальность своего «продукта». Так как активность началась после исчезновения эксплоит китов Angler и Nuclear, исследователи сделали вывод, что злоумышленники пытаются воспользоваться ситуацией и обратить неприятности конкурентов себе на пользу.
Напомню, что деятельность Angler была прекращена в связи с арестом участников хакерской группы Lurk, о деятельности которой недавно детально рассказали представители «Лаборатории Касперского». Разработчика Nuclear, в свою очередь, напугали исследователи компании Check Point, которые сумели детально изучить инфраструктуру всего сервиса, а затем написать об этом развернутый отчет. Специалисты также сумели идентифицировать автора эксплоит кита, сообщив, что это россиянин, проживающий в Краснодаре и зарабатывающий на своем детище порядка 100 000 долларов в месяц. Через несколько дней после выхода отчета Nuclear свернул все свои операции.
Специалисты Trustwave SpiderLabs, изучившие обновленный Sundown более внимательно, тоже полагают, что разработчики Sundown решили воспользоваться ситуацией. Более того, оказалось, что создатели эксплоит кита решили пойти по пути наименьшего сопротивления. Так, кодинг панели и DGA (Domain Generation Algorithm) были отдан на аутсорс группировке Yugoslavian Business Network, а все новые эксплоиты в составе набора оказались попросту украдены у конкурентов, разрабатывающих другие эксплоит киты.
Специалисты Trustwave SpiderLabs сообщают, что теперь в состав Sundown входят эксплоиты «позаимствованные» у Angler (для бага в IE: CVE-2015-2419), RIG (для бага в Silverlight: CVE-2016-0034), эксплоит из набора, похищенного у Hacking Team (для бага во Flash: CVE-2015-5119), а также эксплоит из Magnitude (для бага во Flash: CVE-2016-4117).
Совершено очевидно, что подобная тактика работает не слишком хорошо. Если авторы Sundown действительно хотят составить конкуренцию разработчикам других наборов, им придется обзавестись более внушительным арсеналом и начать писать эксплоиты самостоятельно.
Так, согласно данным Zscaler, наиболее опасными и популярными наборами эксплоитов по-прежнему являются Neutrino и RIG. Статистика, собранная за минувшее лето гласит, что Neutrino в основном занимается распространением дроппера малвари Gamarue, трояна Tofsee, а также вымогателей CryptXXX и CripMIC. RIG, в свою очередь, занимается доставкой трояна Tofsee, шифровальщика Cerber, а также банковских троянов Gootkit и Vawtrack. С большим отставанием этот список топовых эксплоит китов замыкают Magnitude, распространяющий вымогателя Cerber, и Sundown, который, по данным экспертов, этим летом в основном распространял бэкдор Kasidet.
