Об операции Shadowfall, начавшейся еще в феврале 2017 года, рассказала сводная группа специалистов, в состав которой вошли представители компаний RSA Research, Palo Alto Networks, GoDaddy, Malwarebytes, а также независимые эксперты Бред Дункан (Brad Duncan), @broadanalysis, @dynamicanalysis, @executemalware, @nao_sec и @Zerophage1337. Совместными усилиями специалистам удалось разобраться в том, как устроена инфраструктура эксплоит-кита RIG, и нанести по ней сокрушительный удар.
После исчезновения набора эксплоитов Angler, за RIG закрепилась лидирующая позиция на данном рынке. Так, эксплоит-кит использовался для распространения шифровальщиков Cerber, CryptoMix, Sage и Spora, бэкдора SmokeLoader и так далее.
Одним из основных аспектов работы RIG является техника, которую специалисты называют domain shadowing. Фактически это означает, что злоумышленники похищают учетные данные у легитимных владельцев доменов, а затем используют эти ресурсы для создания вредоносных поддоменов, на которых затем размещают вредоносный код, гейты или целевые страницы.
Исследователи считают, что для компрометации сайтов злоумышленники используют фишинговые атаки или обычный брутфорс, подбирая учетные данные. Так, за один день операторы RIG создают порядка 450 «теневых доменов».
Совместными усилиями исследователям удалось выявить десятки тысяч таких ресурсов, большая часть которых хостилась у GoDaddy. Составив своего рода «карту» инфраструктуры RIG и заручившись поддержкой сотрудников GoDaddy, 16 мая 2017 года исследователи приступили к активным действиям. В результате большинство «теневых доменов» были деактивированы, что не могло не сказаться на работе набора эксплоитов.
Might be premature, but I haven't seen any Flash exploits from #RigEK after 2017-05-31. #MagnitudeEK still using Flash exploits, but not Rig pic.twitter.com/NT0jkEpeMD
— Brad (@malware_traffic) June 2, 2017
Last #RIGEK using Flash exploit I observed was on 01 Jun 03:06 AM PT. pic.twitter.com/KlYMP2VytS
— Jérôme Segura (@jeromesegura) June 2, 2017
Хотя RIG по-прежнему работает, судя по всему, группировка, стоящая за его деятельностью, пытается адаптироваться. Так, в период с первого по пятое июня 2017 года специалисты заметили, что RIG полностью отказался от использования эксплоитов для Flash. По всей видимости, это был некий эксперимент со стороны злоумышленников, так как в настоящее время эксплоиты для Flash вновь примеряются. Также исследователи отмечают, что операторы RIG перешли на использование прямых IP, которые меняются каждый час.
#RigEK's swf is back? pic.twitter.com/8xfA9FBOhb
— nao_sec (@nao_sec) June 5, 2017