Год назад ландшафт сетевых угроз кардинально поменялся, когда «со сцены» неожиданно исчезли наборы эксплоитов Angler и Nuclear. Тогда на освободившееся место пришли другие игроки, в частности, появились эксплоит-киты Sundown и Terror.
Если ранее Sundown нельзя было назвать серьезной угрозой (его авторы в основном копировали эксплоиты других групп или публично доступный код, ничего не разрабатывая сами), то после исчезновения Neutrino, которое случилось в сентябре 2016 года, он неожиданно стал набрать популярность. Авторы Sundown активно интегрировали в свой набор новые эксплоиты и техники, включая стеганографию, которая позволяет скрывать эксплоиты за невинными с виду картинками.
Всего несколько недель назад аналитики Cisco Talos опубликовали подробный анализ последних изменений в Sundown, отметив, что в последнее время эксплоит-кит перенимает много черт у одного из своих главных конкурентов – RIG. Но теперь эксперты и ИБ-специалисты заметили, что Sundown уже месяц не проявляет никакой активности и, похоже, прекратил свою деятельность. Исследователи Malwarebytes Labs отмечают, что с радаров пропали даже вариации Bizarro и Greenflash, которые обычно остались активными, даже когда не работал Sundown.
Sundown (Beps) and Nebula out ? More than one month since last hits. pic.twitter.com/KVRFrzvHTG
— Kafeine (@kafeine) April 8, 2017
Теперь на смену Sundown, похоже, пришел сравнительно молодой набор эксплоитов Terror, впервые замеченный экспертами в январе 2017 года. Есть какая-то ирония в том, что Terror, по сути, подражал Sundown, и его разработчики занимались точно таким же копированием чужих решений. Но если раньше Terror в основном распространял Smoke Loader и не мог похвастаться большой долей рынка, то теперь специалисты Malwarebytes Labs пишут, что landing-страницы изменились, и набор эксплоитов в частности задействован в киберкампании по распространению малвари Andromeda.
В итоге сейчас в сфере эксплоит-китов лидируют RIG и RIG-v, следом, со значительным отрывом, идут Terror и KaiXin, а также не стоит забыть о Magnitude и Neutrino, которые по-прежнему работают, но только для очень узкого круга клиентов.
С детальным анализом последних изменений среди эксплоит-китов можно ознакомиться в блоге Malwarebytes Labs.