В российском сегменте информационной безопасности разразился крупный скандал. Хакерская группировка Xillen Killers обнародовала результаты технического анализа программного обеспечения, распространяемого проектом DDoSa, также известным как NoName057(16). Согласно расследованию, под видом "патриотического" инструмента для организации DDoS-атак фактически распространялась сложная шпионская программа, способная полностью компрометировать компьютеры пользователей.
Описание
Группировка Xillen Killers провела комплексный технический анализ программного обеспечения, распространяемого проектом DDoSa. Результаты оказались шокирующими: вместо заявленного инструмента для организации распределенных атак отказа в обслуживании пользователи получали sophisticated (сложное) шпионское ПО с широким набором вредоносных функций.
Технический анализ, проведенный с использованием платформы Hybrid Analysis, выявил 22 техники из тактической матрицы MITRE ATT&CK, включая захват скриншотов экрана, кражу учетных данных из браузеров, внедрение в системные процессы, использование шифрованных каналов связи и защиту от анализа в виртуальных средах. Анализ в Cape Sandbox показал, что собранные данные передавались на конкретные командные серверы с IP-адресами 195.133.88[.]4, 77.91.100[.]13 и другими через специальные URL-адреса.
Сервис VirusTotal подтвердил вредоносную природу файла d_win_x64.exe: 56 из 72 антивирусных движков помечали его как опасный. Это свидетельствует о практически единодушном признании вредоносности со стороны мирового антивирусного сообщества.
Особенно показательным стал диалог между представителями Xillen Killers и администрацией проекта DDoSa в Telegram-чате. На первоначальные обвинения представитель проекта ответил ироничным предложением "сделать шапочку из фольги", на что исследователи привели конкретные технические доказательства - 22 флага MITRE ATT&CK и данные анализа в Hybrid Analysis. Когда же были представлены конкретные IP-адреса командных серверов, куда уходили данные, аккаунты Xillen Killers были незамедлительно заблокированы в боте проекта.
Расследование выявило и коммерческую составляющую деятельности проекта. Под прикрытием "патриотических" лозунгов организаторы активно продавали доступ к "инструменту" через закрытые чаты, торговали мерчем (футболками, кружками, стикерами) и систематически удаляли любую критику и технические вопросы к коду их программного обеспечения.
Xillen Killers сделали категоричный вывод: "Их чат - помойка, софт - шпионка, админы - барыги. В российской хакер-среде таким мошенникам не место". Использование программного обеспечения DDoSa Project приводит к полной компрометации личных данных, краже паролей и финансовой информации, превращению компьютера в звено ботнета, а также потенциальной уголовной ответственности за использование вредоносного ПО.
Группировка пообещала продолжить расследование и опубликовать полные дампы сетевого трафика и досье на всех участников проекта. Этот случай стал ярким примером того, как под видом патриотических инициатив могут осуществляться противоправные действия, ставящие под угрозу безопасность самих же сторонников таких проектов.
Ситуация демонстрирует важность проверки любого программного обеспечения, независимо от его заявленных целей, и необходимость осторожного отношения к проектам, сочетающим политическую риторику с распространением программных продуктов с закрытым исходным кодом. Для российского хакерского сообщества это стало серьезным сигналом о необходимости саморегуляции и противодействия мошенническим схемам, работающим под прикрытием патриотической деятельности.
Индикаторы компрометации
IPv4
- 195.133.88.4
- 77.91.100.13
- 77.91.100.134
URLs
- http://195.133.88.48
- http://77.91.100.134/basic
