Специалисты Cyfirma идентифицировали новый фреймворк для пост-эксплуатации Exfiltrator-22 (или просто EX-22), который используется для распространения шифровальщиков в корпоративных сетях. Исследователи полагают, что этот фреймвок связан с бывшими аффилиатами LockBit.

По словам экспертов, вредоносный инструмент явно создан опытными разработчиками, которые обладают знаниями в области антианализа и обхода защиты. Создатели Exfiltrator-22 используют весьма агрессивную маркетинговую стратегию, утверждая, что их решение в принципе невозможно обнаружить.

Судя по всему, авторы Exfiltrator-22 находятся в Азии и пытаются создать вокруг своей разработки собственную партнерскую программу, то есть фреймфорк доступен по подписке: за 1000 долларов в месяц или 5000 долларов за пожизненный доступ.

Исследователи считают, что разработка фреймворка была завершена в ноябре 2022 года, а в декабре его уже начали активно рекламировать в Telegram, а затем и на YouTube.

Канал в Telegram

Клиентам Exfiltrator-22 предоставляется доступ к административной панели (размещается на «пуленепробиваемом» VPS), откуда можно удаленно управлять малварью, собирать информацию с зараженных устройств, обновлять конфигурацию вредоносного ПО, развертывать новые версии инструмента и создавать новые кампании.

Возможности Exfiltrator-22, включают в себя: создание реверс-шелла с повышенными правами, загрузку и выгрузку файлов, кейлогер, шифрование файлов, подключение к зараженному устройству в режиме реального времени, повышение привилегий, закрепление в системе, боковое перемещение с помощью червя, сброс учетных данных LSASS, хеширование, просмотр списка запущенных процессов, хищение токенов аутентификации и так далее.

Также фреймворк способен обойти User Access Control (UAC), может использоваться для создания запланированных задач, может проверить, в каких группах числится конкретный пользователь, а также позволяет выбрать полезную нагрузку для выполнения на целевой машине.

Кроме того, аналитики Cyfirma отмечают, что разработчики малвари злоупотребляют сетью доставки контента (CDN) Akamai для размещения управляющей инфраструктуры Exfiltrator-22, и, вероятно, используют плагин для обфускации Tor и domain fronting, чтобы спрятать трафик Tor в обычных соединениях HTTPS.

При этом используемая хакерами техника domain fronting’а, а также управляющая инфраструктура все те же, что использовал шифровальщик LockBit версии 3.0.

«Можно с высокой уверенностью заключить, что злоумышленники, создавшие EX-22, являются очень высококвалифицированными и, вероятно, они будут продолжать совершенствовать свое вредоносное ПО в части уклонения от обнаружения. Благодаря постоянным улучшениям и поддержке, EX-22 становится популярной альтернативой среди злоумышленников, которые планируют приобрести инструменты для пост-эксплуатации, но не желают использовать традиционные решения из-за высокой скорости их обнаружения», — заключает Cyfirma.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии