Главная страница » Индикаторы компрометации
0
1 день
Индикаторы компрометации

Платформа киберпреступлений как услуга NET_SCAN раскрыта: утечка тысяч SMTP-данных и скриптов для криптоджекинга

information security

В теневом сегменте интернета продолжает набирать обороты модель преступности как услуги (Cybercrime-as-a-Service), когда технически подкованные злоумышленники предоставляют менее квалифицированным покупателям готовые инструменты для атак. Новым примером такой опасной коммерциализации стала платформа NET_SCAN, детальный анализ которой выявил не только широкий спектр вредоносных услуг, но и вопиющие ошибки оператора, приведшие к масштабной утечке конфиденциальных данных. Инцидент демонстрирует, как сложные инструменты для компрометации веб-сайтов, кражи учётных данных и скрытого майнинга криптовалют становятся доступными по подписке, одновременно подвергая риску самих преступников из-за элементарных промахов в безопасности.

Описание

Платформа NET_SCAN, судя по всему, управляется одним оператором под псевдонимом xssNew, который является премиум-участником известного хакерского форума XSS.is с июля 2022 года. Его деятельность структурирована вокруг двух взаимосвязанных веб-приложений. Первое, netscan[.]info, представляет собой полнофункциональную панель управления CaaS с обширным арсеналом. Второе, wpmagic[.]net, позиционируется как специализированный сервис "WP Magic Button" для массовой проверки и взлома сайтов на CMS WordPress. Общее владение подтверждается использованием единой учётной записи Cloudflare.

Ключевой особенностью инцидента стали грубые ошибки конфигурации, допущенные оператором платформы. На основном домене netscan[.]info были обнаружены несколько API-эндпоинтов, не требующих какой-либо аутентификации для доступа. Это привело к утечке значительных объёмов операционных данных, собранных злоумышленниками в ходе предыдущих атак. В частности, через открытый эндпоинт стали доступны 29 украденных ключей API от таких сервисов SMS-рассылок, как Twilio и Vonage. Эти данные, принадлежащие компаниям из секторов здравоохранения, электронной коммерции и государственных услуг по всему миру, могли быть использованы для мошеннических рассылок или спама.

Ещё более масштабной выглядит утечка через другой незащищённый эндпоинт, который раскрыл статистику по скомпрометированным почтовым учётным данным. Всего в базе платформы насчитывалось 18 862 украденных SMTP-креденшиала (учётные данные для отправки почты), из которых 942 были валидированы, то есть подтверждены как рабочие. Также были скомпрометированы сотни API-ключей от популярных сервисов электронной почты, таких как SendGrid и Mailgun. Подобные утечки создают прямой риск для репутации компаний-жертв, чьи почтовые серверы могут быть использованы для рассылки фишинга или спама, а также облегчают последующие целевые атаки. Исследователи также [обнаружили] данные о 104 незащищённых базах данных (MongoDB и PostgreSQL), найденных сканерами платформы у различных организаций, включая университеты и финтех-компании.

Помимо краж учётных данных, функционал платформы впечатляет своей широтой. Анализ кода выявил модули для эксплуатации уязвимостей в WordPress, удалённого выполнения команд на скомпрометированных хостах, кражи учётных записей AWS, cPanel и SSH, а также сканирования серверов на наличие чувствительных файлов. Отдельное внимание привлекает интеграция технологий искусственного интеллекта. Платформа использует несколько крупных языковых моделей (LLM), включая модели от OpenAI, Anthropic и Google, под внутренним названием "Luna". Эта функциональность применяется для генерации убедительного фишингового контента и, предположительно, в качестве помощника для самого оператора. Наличие такого инструментария значительно снижает порог входа для киберпреступников, позволяя им создавать качественные тексты атак без специальных навыков.

Одним из наиболее опасных модулей является система развёртывания криптомайнеров. Через незащищённый эндпоинт был получен полный скрипт установки, который разворачивает на целевой системе вредоносного агента на Go и стандартный майнер XMRig для добычи Monero. Агент конфигурируется как служба systemd для обеспечения постоянства (persistence) и поддерживает связь с панелью управления по зашифрованному протоколу WebSocket. Примечательно, что хэш исполняемого файла агента не был найден в VirusTotal на момент расследования, что указывает на использование кастомной или свежесобранной вредоносной программы, что может помочь ей избежать детектирования традиционными антивирусами.

Любопытной деталью расследования стала история происхождения инструментария для атак на WordPress. 15 апреля 2026 года независимый исследователь безопасности, известный под ником Voidwalker, публично заявил, что оператор NET_SCAN украл его концепцию набора для внедрения кода и начал продавать её как услугу. Он прямо связал это заявление с доменом wpmagic[.]net. Анализ кода этой платформы, в свою очередь, показал признаки его генерации или значительной доработки с помощью ИИ, что подтверждает слова исследователя. Этот эпизод иллюстрирует не только конфликты внутри преступного сообщества, но и то, как открытые обсуждения инструментов взлома могут быстро трансформироваться в коммерческие киберпреступные сервисы.

Парадоксально, но сама платформа, предлагающая инструменты для взлома, оказалась уязвима. В ходе анализа wpmagic[.]net было выявлено пять недостатков безопасности, включая возможность смены пароля учётной записи без подтверждения текущего, обход проверок авторизации и слабую защиту сессионных куки. Эти уязвимости могли позволить как конкурентам, так и правоохранительным органам вмешаться в работу сервиса или получить доступ к данным клиентов. Обнаружение жёстко прописанного в коде пароля "@ssw0rd123!" лишь подчёркивает непрофессионализм оператора.

Возникновение и успех подобных платформ как услуги сигнализируют об опасной тенденции в киберпреступности. С одной стороны, они демократизируют доступ к сложным атакам, с другой - их операторы часто допускают критичные ошибки, ведущие к их собственному разоблачению и утечкам данных многочисленных жертв. Для организаций основными уроками остаются необходимость строгой защиты учётных данных SMTP и SMS-сервисов, регулярное обновление CMS вроде WordPress и её плагинов, а также мониторинг сетевой активности на предмет нехарактерных соединений, которые могут указывать на скрытый майнинг или наличие удалённой оболочки. Инцидент с NET_SCAN служит напоминанием, что угроза может исходить не только от целевых действий хакеров, но и от массовых автоматизированных сервисов, арендовать которые может практически любой желающий.

Индикаторы компрометации

IPv4

  • 104.21.79.221
  • 104.21.91.253
  • 172.67.171.145
  • 172.67.183.109

Domains

  • netscan.info
  • wpmagic.net

URLs

  • http://flaresolverr:8191

WebSockets Secure

  • wss://netscan.info/api/miners/ws/agent

SHA256

  • 0a1c301ddbf20dfdf4cd5905f1bba8ffea85c94af2849971c9701472ff059e1c
  • 0d4c7e56d15d920592dd93ba35d18bd08d102951d6039ff219710f0c29c72ff0
  • 1821cfbf97c531534a9c11dc30f5f1dc1b32071ab5d5d7326767ee9607d5e907
  • 6ae42b2642631533e1e65ba7cdc95cad0f9d9206b787ca1f2ca48a8d5d18f3d7
Комментарии: 0
Похожие записи
0
31.08.2022
Индикаторы компрометации

ModernLoader RAT IOCs

security
Cisco Talos недавно наблюдала три отдельные, но связанные между собой кампании, которые в период с марта по июнь 2022 года передавали жертвам различные угрозы, включая бота ModernLoader, похитителя информации
0
07.03.2023
Индикаторы компрометации

Redis Miner использует службу хостинга файлов командной строки

security
Исследователи Cado Labs недавно обнаружили новую кампанию криптоджекинга, направленную на небезопасное развертывание Redis. В основе этой кампании лежало использование transfer.
0
09.07.2025
Индикаторы компрометации

Киберпреступники активно используют уязвимость GeoServer для установки криптоджекинга: случаи заражения в Южной Корее

information security
Специалисты AhnLab Security Intelligence Center (ASEC) зафиксировали продолжающиеся атаки на уязвимые версии GeoServer, которые используются для установки вредоносного ПО, включая криптомайнеры.