_%D0%BE%D0%B1%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%D0%BD%D0%BE_%D0%BE%D0%B1%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%D0%BD%D0%BE.png)
Был обнаружен новый, относительно
низкоквалифицированный киберпреступник, использующий услуги надежного
хостинг-провайдера (BPH) для развертывания вредоносного ПО под видом легального
программного обеспечения.
Хакер, известный под псевдонимом «Кокетка», был
обнаружен исследователями DomainTools при расследовании вредоносных доменов,
размещенных на Proton66.
Proton66 — российский провайдер надежного хостинга, печально известный тем, что потворствует киберпреступности, игнорируя жалобы на злоупотребления.
Компания DomainTools поделилась своими выводами
относительно деятельности Coquettte в отчете, опубликованном 3 апреля 2025
года.
Деятельность киберпреступника включает распространение
вредоносного ПО, а также продажу руководств по изготовлению запрещенных веществ
и оружия.
Объяснение
распространения вредоносного ПО Coquette
Исследователи DomainTools впервые обнаружили
деятельность Coquette через домен cybersecureprotect[.]com, поддельный сайт о
продуктах кибербезопасности, размещенный на Proton66.
На первый взгляд, сайт предлагал антивирусное ПО
CyberSecure Pro. Однако на самом деле сайт распространяет загрузчик
вредоносного ПО Rugmi.
Исследователи получили доступ к веб-каталогу сайта
после «сбоя безопасности операции (OPSEC)» со стороны Кокетт.
Каталог содержал сжатый zip-файл установщика Windows.
После распаковки файл, по-видимому, является вредоносным дроппером для Rugmi, а
не программным обеспечением безопасности.
При запуске установка обращается к двум жестко
заданным URL-адресам, cia[.]tf и quitarlosi[.], загружает полезную нагрузку
второго этапа и сбрасывает дополнительные исполняемые файлы с серверов,
контролируемых злоумышленниками.
Rugmi — это модульный загрузчик вредоносных программ,
используемый киберпреступниками для развертывания различных вторичных полезных
нагрузок, включая инфокрады , трояны и
программы-вымогатели. Он был замечен в распространении различных инфокрадов , включая
Vidar, Raccoon Stealer V2, Lumma Stealer и
Rescoms.
По данным DomainTools, Rugmi также известен как
Penguish и связан с загрузчиком Amadey.
Rugmi распространяется компанией Coquettte с
использованием инфраструктуры Proton66, включая размещение сервера управления и
контроля (C2) злоумышленника на домене cia[.]tf, с которым взаимодействует
Rugmi.
Дальнейшее расследование показало, что этот домен был
зарегистрирован с адресом электронной почты root[@]coquettte[.]com.
«Эта прямая связь подтвердила, что Coquettte не только
использовала cybersecureprotect[.]com как центр распространения вредоносного
ПО, но и контролировала cia[.]tf, который обеспечивал загрузку и выполнение
вредоносных программ», — пояснили исследователи.
_%D0%BE%D0%B1%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%D0%BD%D0%BE.png)
Руководства по
запрещенным веществам и оружию
В ходе расследования были также обнаружены другие
проекты, которыми управляла Кокетт, включая веб-сайт, размещенный по адресу
meth[.]to, на котором размещены руководства по обращению с незаконными
веществами и оружием.
Сайт якобы предоставляет рецепты и инструкции по
изготовлению метамфетамина, взрывчатых веществ типа C4/Semtex, созданию
самодельных устройств (например, светошумовых гранат, напалма) и даже
руководства по краже каталитических нейтрализаторов. DomainTools не подтвердил,
что руководства могут эффективно помочь в изготовлении этих наркотиков и
оружия.
У Coquettte также есть персональный веб-сайт
coquettte[.]com, который предоставляет дополнительную информацию об их онлайн-присутствии.
На сайте, размещенном на AWS, однажды появилось
сообщение: «18-летний инженер-программист, получающий степень в области
компьютерных наук».
Исследователи DomainTools отметили: «Это говорит о
том, что Кокетт — молодая личность, возможно, студентка, что согласуется с
любительскими ошибками (вроде открытого каталога) в их киберпреступных
начинаниях».
Любительский коллектив
Black Hat Hacker
Предполагается, что Coquette связана со слабо
структурированным хакерским коллективом, известным как Horrid.
Эта связь подтверждается общей инфраструктурой
нескольких доменов, таких как horrid.xyz , terrorist.ovh , meth.to и meth.su ,
которые используют один и тот же трекер Google Analytics и размещают контент,
связанный с незаконной деятельностью.
Перекрывающиеся цифровые следы указывают на то, что
Coquettte, скорее всего, является псевдонимом одного из участников группы, а не
отдельным актером.
Кроме того, Coquettte и их партнеры поддерживают
активное присутствие в Интернете на нескольких платформах, включая персональный
репозиторий GitHub, канал YouTube под псевдонимом «chickenwing_11» и связанный
профиль Last.fm.
Их инфраструктура также распространяется на другие сайты, связанные с
киберпространством, такие как проект эмуляции терминала Linux, размещенный
на xn--xuu.ws , что еще раз подтверждает идею о том, что эта
сеть функционирует как инкубатор для начинающих киберпреступников, предоставляя
ресурсы для вредоносного ПО, решения для хостинга и среду для совместной работы
по подпольной хакерской деятельности.
Дополнительная интересная информация:
Мошенники выдают себя за
вирус-вымогатель Clop, чтобы вымогать деньги у компаний
"Уязвимость нулевого дня в Windows: как
APT-группы использовали её почти десятилетие"
"Срочное предупреждение: Fast Flux
ставит под угрозу вашу сеть"
"От токена до краха: Разоблачение атаки на цепочку поставок
Tj-actions"
МЕТА ТЕГИ: #киберпреступник #вредоносное ПО #хостинг-провайдер #Proton66 #Rugmi #кибербезопасность #хакерская деятельность #Coquettte #Horrid #инфокрады #трояны #программы-вымогатели #киберпреступность #OPSEC #C2-серверы #киберугрозы #хакерские инструменты #начинающие киберпреступники
Комментариев нет:
Отправить комментарий