Год назад исследователи ESET участвовали в двух крупных операциях по разрушению вредоносных экосистем Lumma Stealer и Danabot. В новом совместном проекте с частными партнёрами и правоохранительными органами они нацелились на ботнет Amadey и инфостилер Stealc. Обе вредоносные программы распространяются по модели malware-as-a-service (MaaS, вредоносное ПО как услуга). Операция Endgame, координируемая подразделением Microsoft Digital Crimes Unit (DCU), BitSight, Lumen, Mitsui Bussan Secure Directions (MBSD) и другими участниками, нацелилась на всю известную сетевую инфраструктуру, используемую аффилированными лицами Amadey и Stealc, чтобы парализовать их киберпреступную деятельность.
Описание
ESET внесла в этот вклад технический анализ, статистические данные, списки известных серверов управления (C&C), ключи шифрования, идентификаторы кампаний и сборок, а также другие данные разведки угроз. Эти сведения собирались в ходе многолетнего отслеживания обеих вредоносных семей. Нарушение затронуло около 50 доменов и почти 200 активных IP-адресов, используемых в качестве C&C-серверов для Amadey или Stealc.
Amadey представляет собой модульный загрузчик вредоносного ПО. Его основная задача - доставлять на скомпрометированные системы дополнительное вредоносное ПО, хотя в него также входят модули для кражи данных и удалённого доступа. Stealc, напротив, является типичным инфостилером как услугой, нацеленным на учётные данные, файлы cookie, криптовалютные кошельки, расширения браузеров и файлы, имена которых соответствуют заданным аффилиатами шаблонам. Обе программы продаются как услуги и рекламируются на форумах даркнета. Для мониторинга этих форумов ESET использовала платформу Flare.io.
Модель MaaS для Amadey и Stealc отличается от других. Например, аффилиаты Danabot могут арендовать инфраструктуру C&C как услугу, а Lumma Stealer использовал сеть эксфильтрации, полностью управляемую операторами. В случае с Amadey и Stealc аффилиаты сами отвечают за развёртывание и эксплуатацию своей инфраструктуры, что усложняет усилия по disruption. Именно поэтому кластеризация стала ключевым методом.
Согласно телеметрии ESET, оба семейства доставлялись через широкий спектр каналов: поддельные обновления программного обеспечения, установщики взломанных программ и загрузчики от третьих лиц. Amadey использовал модель pay-per-rebuild: аффилиаты покупали лицензию и платили дополнительную плату за каждую новую сборку, например при смене C&C-сервера. Операторы не предоставляли инструмент для сборки; образцы компилировались по запросу для каждого аффилиата. Stealc придерживался более дружественного подхода, предлагая неограниченное создание сборок в рамках подписки, что снижало операционные затраты на ротацию инфраструктуры.
Идентификация кластеров активности в таких экосистемах позволила выявить приоритетные цели для операции. Анализ Amadey показал, что каждый образец содержит как минимум один жёстко заданный URL C&C-сервера, RC4-ключ для шифрования трафика и шестизначный шестнадцатеричный идентификатор сборки (sd). Этот RC4-ключ оказался надёжным идентификатором кластера, позволяющим группировать образцы в отдельные ботнеты. Всего в экосистеме Amadey выявили 53 уникальных кластера. Один из них - крупнейший, на который приходилось почти 34% всех обработанных образцов Amadey. Он был единственным активным на протяжении всего анализируемого периода. Этот ботнет в среднем доставлял около 14 полезных нагрузок каждой жертве одновременно, включая инфостилеры, RAT и сложные обфусцированные вредоносные программы. Исследователи получили доказательства того, что несколько аффилиатов Lumma Stealer могли получать одни и те же украденные данные, что указывает на использование операторами крупнейшего кластера собственной модели pay-per-install (PPI, оплата за установку).
Stealc, в отличие от Amadey, является типичным инфостилером, нацеленным на широкий спектр источников данных. Он был представлен на форуме даркнета в феврале 2023 года. Текущие версии Stealc содержат два различных RC4-ключа: один для расшифровки обфусцированных строк во время выполнения, второй для шифрования сетевого трафика C&C. Также извлекается идентификатор сборки, передаваемый в рукопожатии. Идентификатор сборки позволяет кластеризовать активность. Всего с марта 2025 года было выявлено 73 отдельных кластера Stealc. Каждый кластер обычно привязан к небольшому количеству C&C-серверов и нескольким идентификаторам сборок. disruption такой инфраструктуры затруднён из-за отсутствия единого слабого места.
Операция Endgame была направлена на захват или блокировку всех известных C&C-серверов Amadey и Stealc, напрямую нарушая инфраструктуру, на которую полагались аффилиаты. ESET продолжит мониторинг обоих семейств и отслеживание попыток восстановить операционную инфраструктуру после этого удара. Долгосрочное автоматизированное отслеживание вредоносного ПО остаётся необходимым условием для глобальных операций по разрушению киберпреступных сетей.
Индикаторы компрометации
IPv4
- 176.111.174.140
- 176.124.199.207
- 188.114.96.1
- 193.156.1.16
- 194.26.192.191
- 196.251.107.130
- 62.60.226.159
- 64.188.91.237
- 94.154.35.25
- 95.85.238.4
Domains
- mi.overlapsnowbound.com
SHA1
- 09002d4668a778853e8da5c488c6e421c0628357
- 11a42ef076686cb27ba2c8845301943652a5aadc
- 32d0c3300825b0bb991c4a8f1e6244f0ad2da989
- 38d744543b2051e6f749af171b5ef8d6df8aac7b
- 5f3f99b14243404c7cf57b40bb101244cce394bf
- 87867ad29e621bf9ebf57e1757f75090842458be
- b4101027bf2f1261402bf6318c6eb016ce249037
- f61e3a643f2417e1a1ab2c83bbdbfc8a7cb96756
- ff8d2afd9d7f0a822092fee34ca55d1a3542f7ed
