С сентября 2022 года вредоносная программа Aurora рекламируется как инфостеллер, и несколько команд трейсеров объявили, что добавили ее в свой набор инструментов вредоносного ПО. Кроме того, SEKOIA.IO отмечает увеличение количества образцов Aurora, распространяемых в дикой природе, а также C2-серверов.
Aurora Stealer
Впервые Aurora была анонсирована на русскоязычных подпольных форумах в апреле 2022 года и представляет собой многоцелевой ботнет с возможностями кражи, загрузки и удаленного доступа. Ботнет продавался как вредоносная программа как услуга (MaaS) субъектом угроз под ником Cheshire.
В июле 2022 года Sekoia выявила около 50 образцов, большинство из которых принадлежали ботнетам "Cheshire" и "Zelizzard", и менее десятка C2-серверов, связанных с ботнетами Aurora. В конце июля серверы Aurora перестали быть активными, а в онлайновом публичном хранилище не было представлено ни одного нового образца Aurora. На тот момент, по оценке SEKOIA.IO, активность ботнетов Aurora была практически остановлена.
Кроме того, предполагаемый разработчик прекратил публикации о ботнете Aurora на форумах Dark Web и на своем Telegram-канале в начале июня 2022 года. Еще одна публикация на форуме BHF в конце июля 2022 года позволила предположить, что чеширские разработчики переключились на разработку вредоносных программ по запросу. Основываясь на этих наблюдениях, Секойя считает возможным, что разработка MaaS ботнета Aurora в настоящее время прекращена.
В конце августа 2022 года на Telegram и подпольных форумах Aurora рекламировалась как кража вместо ботнета.
Indicators of Compromise
IPv4 Port Combinations
- 138.201.92.44:8081
- 146.19.24.118:8081
- 167.235.233.95:9865
- 185.173.36.94:8081
- 185.209.22.98:8081
- 193.233.48.15:9865
- 37.220.87.2:8081
- 45.137.65.190:8081
- 45.144.30.146:8081
- 45.15.156.115:8081
- 45.15.156.22:8081
- 45.15.156.33:8081
- 45.15.156.80:8081
- 45.15.156.97:8081
- 45.15.157.137:8081
- 49.12.222.119:8081
- 49.12.97.28:8081
- 5.9.85.111:8081
- 65.108.253.85:8081
- 65.109.25.109:8081
- 78.153.144.31:8081
- 79.137.195.171:8081
- 81.19.140.21:8081
- 82.115.223.218:8081
- 85.192.63.114:8081
- 89.208.104.160:8081
- 95.214.55.225:8081
Domains
- alls0ft.cloud
- allsofts.cloud
- cheatcloud.info
- freesoft.digital
- mividajugosa.com
- onesoftware.site
- unisoft.store
- winsofts.cloud
URLs
- https://cdn.discordapp.com/attachments/1028937934763720724/1038878571302756372/Adobe_Photoshop_2022_CRACK.rar
- https://cdn.discordapp.com/attachments/1036677135621951653/1037145460089040916/Adobe_Photoshop.zip
- https://cdn.discordapp.com/attachments/1036703574828269658/1037132394534281266/Adobe_Premiere_Pro.zip
- https://cdn.discordapp.com/attachments/1037000444813254768/1042401882041237524/Adobe_Acrobat.zip
- https://cdn.discordapp.com/attachments/1037343714319794236/1037352224650690650/Adobe_Photoshop.zip
- https://cdn.discordapp.com/attachments/1041004296050835459/1041454535836696656/onesoftware.site.zip
- https://cdn.discordapp.com/attachments/1041004296050835459/1041740296993636372/FreeSoft.zip
SHA256
- 04b2edcc9d62923a37ef620f622528d70edab52ccd340981490046ad3aa255e5
- 2bdba09d02482f3016df62a205a456fc5e253f5911543bf40da14a59ad2bc566
- 2e9dbda19d9c75a82dabac8ffba5ea76689ada81639867c41c395a29aeaba788
- 459a8faa7924a25a15f64c34910324baed5c24d2fe68badd9a4a320628c08cb8
- 47332ce5b904b959aa814ddfde8662931fdfb5233422dc45053ad04cffc44fb4
- 4b5450b61a1be5531d43fe36f731c78a28447b85f2466b4389ea7bbb09ecec9c
- 51a2fe0ea58a7a656bc817e91913f6d6c50e947823b96a3565e7593eea2fd785
- 73485bc0ca251edcca9e4c279cbc4876b1584fb981a5607a4bdeae156a70d082
- 88e02def17fda0021d4dba5ea812772c542b0fa6ca8930bcf06c42375c00bd29
- 8e24e96e1e87cf00e27c3a3745414636fbf6e148077c0f6815a2b87bacf85c8d
- 9db1744112aea85c625cd046fc737bf28bef254bebfbf7123df6844f62167759
- a485913f71bbd74bb8a1bdce2e2c5d80c107da7d6c08bf088599c1ee62ccb109
- a4a3a66aee74f3442961a860b8376d2a2dc2cf3783b0829f6973e63d6d839e5b
- aa504264669e5bdbda0aac3ada1cd16964499c92d2b48d036a16ba22d79f44f6
- f6b17c5c0271074fc27c849f46b70e25deafa267a060c35f1636ab08dda237d6