Экспонированная панель управления вредоносным ПО TwizAdmin раскрыла многофункциональную киберпреступную операцию

Панель управления, работающая по адресу 103.241.66[.]238 на порту 1337, была построена на основе фреймворка FastAPI и оставалась полностью доступной, включая документацию Swagger (/docs). Это позволило детально изучить её функционал. Анализ показал, что операция представляет собой комплексную вредоносную платформу, сочетающую в себе функции клиппера для кражи криптовалюты, сканера секретных фраз (BIP-39 seed phrases), сборщика данных браузеров, модуля программ-вымогателей и даже конструктора для создания RAT (Remote Access Trojan) на Java. Вся инфраструктура, включая исходный код, полезные нагрузки и скрипты для сборки, была открыто размещена на домене fanonlyatn[.]xyz, что является грубейшим нарушением операционной безопасности (OPSEC).

Социальная инженерия служит основным вектором атак. Злоумышленники используют два типа приманок, оформленных как поддельные macOS-приложения. Первая маскируется под документ с деталями доставки FedEx (с идентификатором пакета "com.fedex.delivery.details"), а вторая предлагает якобы скомпрометированные данные учётных записей OnlyFans ("com.onlyfans.secure.access"). Оба приложения запрашивают у жертвы ключ доступа "pass2021#", после чего отображают фальшивый контент, отвлекая внимание от фоновой установки вредоносного ПО. Для обеспечения закрепления в системе на macOS создаются файлы LaunchAgent ("com.sys32.data.plist"), а на Windows вредоносный код прописывается в автозагрузку реестра и планировщик задач, используя портативную среду Python в папке "%APPDATA%\sys32data\".

Ядро операции - скрипт-оркестратор "call2.py". После запуска он загружает и активирует основные модули. Ключевым компонентом является клиппер "sys32.py", который отслеживает буфер обмена жертвы и автоматически подменяет скопированные криптовалютные адреса на кошельки злоумышленника. Поддерживается впечатляющее количество блокчейнов: Bitcoin (в трёх форматах адресов), Ethereum, Tron, Dogecoin, Litecoin, Solana, Ripple и Bitcoin Cash. Параллельно работает сканер "finder.py", который ищет на диске текстовые файлы, содержащие сид-фразы криптокошельков стандарта BIP-39, и выгружает их на сервер.

Отдельный модуль программ-вымогателей, обозначенный как "crpx0", добавляет в арсенал функции шифрования. Он использует алгоритм Fernet (AES-128-CBC) для кодирования файлов жертвы, добавляя к ним расширение ".crpx0". В каждой зашифрованной папке оставляется инструкция "HOW TO RECOVER.txt" на английском, русском и китайском языках. Для связи вымогатели требуют использовать Telegram-аккаунт @DataBreachPlus, электронную почту "databreachplus@proton[.]me" или клиент qTox. Инфраструктура для этого модуля использует три домена в зоне .ru ("caribb[.]ru", "mekhovaya-shuba[.]ru", "beboss34[.]ru"), зарегистрированных через REGRU-RU и размещённых на одном IP-адресе 31.31.198[.]206.

Важным аспектом, раскрытым в ходе анализа, является бизнес-модель операции. Панель TwizAdmin реализует систему лицензионных ключей с тарифами на 3 дня, неделю, месяц и бессрочно, что прямо указывает на модель Malware-as-a-Service (MaaS). Это означает, что создатель платформы распространяет её среди других преступников, которые, в свою очередь, проводят собственные атаки. Исследователи обнаружили полную схему API панели, включая эндпоинты для управления ключами, статистикой и данными жертв, а также жёстко прописанный в коде секрет для аутентификации ("26i$MyYe@r").

Анализ артефактов в коде, таких как метаданные C2PA в одном из модулей, указывает на использование злоумышленником инструментов искусственного интеллекта, вроде ChatGPT, для генерации контента или, возможно, помощи в программировании. Однако общий уровень операционной безопасности оценивается как низкий. Помимо открытых каталогов и экспонированной панели управления, в коде остались отладочные логи, старые версии скриптов и следы активного процесса разработки с исправлением синтаксических ошибок "на лету".

С точки зрения атрибуции, совокупность факторов - русскоязычные домены, использование регистратора REGRU-RU, идиоматический русский язык в ransom-ноте - указывает на высокую вероятность связи угрозы с русскоязычным пространством. Мотивация является исключительно финансовой, а уровень технической сложности можно охарактеризовать как средний: злоумышленник демонстрирует способность создавать кроссплатформенные инструменты, но допускает критические ошибки в их развёртывании и защите. Обнаружение подобной экспонированной инфраструктуры служит суровым напоминанием для компаний и частных лиц об опасности социальной инженерии и необходимости защиты конечных точек, особенно при работе с криптовалютными активами, которые остаются ключевой мишенью для современных киберпреступников.

IPv4

• 104.21.28.214
• 172.67.147.155
• 31.31.198.206

IPv4 Port Combinations

• 103.241.66.238:1337

Domains

• beboss34.ru
• caribb.ru
• fanonlyatn.xyz
• mekhovaya-shuba.ru

URLs

• https://beboss34.ru/crpx0/notify.php
• https://caribb.ru/crpx0/notify.php
• https://fanonlyatn.xyz/api.php
• https://fanonlyatn.xyz/api_address_match.php
• https://fanonlyatn.xyz/api_dropper_log.php
• https://fanonlyatn.xyz/builds/
• https://fanonlyatn.xyz/files/
• https://mekhovaya-shuba.ru/crpx0/notify.php

SHA256

• 06299676b43749b8477c4bc977c09512957fc9b66fd5030c1874069632ce6092
• 3fcd267e811d9b83cafa3d8d6932fa1c56f4fd8dcf46f9ec346e0689439532d4
• 584796212f99efc7ac765d6048913fe34e46a64b13a8a78fb3a465b8c61f3527
• 74ab520e94b2f3b8915ec7b47abab7a2d7e9759add5aa195af7edf0ffa5b4150
• 9d9783f57fd543043e0792d125831883259c823a5eaa69211e5254db4db4eaec
• aa11f154b17a4f81f951dbeaab78b58ea012f5b6ea16e4f894bd90971e01bae4
• f7ddba605e3d04e06d2f7b0fc4a38027ae58ca65a69d800dd2f43c8e94ca8396