Истории кибербезопасности редко бывают смешными. Но недавний случай, описанный Huntress, скорее напоминает иронию судьбы: злоумышленник, занимавшийся атаками и поиском инструментов, сам установил агент Huntress на свою рабочую машину — и подарил исследователям уникальное «окно» в свою повседневность.
Как всё началось
По классике, злоумышленники иногда ставят продукты киберзащиты, чтобы «прощупать» их. Но этот пошёл дальше: кликнул по рекламе Huntress в поиске, зарегистрировал пробный период и поставил агент прямо на тот компьютер, с которого вёл свои операции.
С этого момента вся телеметрия стала доступна команде Huntress: от браузерной истории до запущенных процессов.
Что удалось увидеть
👾 AI в операциях — злоумышленник активно экспериментировал с Make.com и Telegram Bot API, автоматизировал рассылки и использовал AI для генерации CSV и текстов. Это подтверждает тренд: преступники интегрируют те же SaaS и LLM-сервисы, что и легальные компании.
🕸 Evilginx и инструменты — в истории были поиски и попытки использовать фреймворки Evilginx, GraphSpy, Bloodhound. В арсенале мелькали TeamFiltration и прокси-сервисы (LunaProxy, Nstbrowser).
💊 Забавный момент — на том же хосте была подписка на Malwarebytes и установлен браузерный Guard-плагин. То есть атакующий пытался одновременно ломать и защищаться.
🕵️ Рекогносцировка — изучение банков, real estate компаний, списков клиентов через BuiltWith, ReadyContacts и InfoClutch. Видно, что атаки были не хаотичными, а планировались как полноценные «кампании».
🌍 Инфраструктура — активность связывалась с AS 12651980 (VIRTUO). За две недели расследователи обнаружили более 2471 уникальной идентичности и минимум 20 скомпрометированных аккаунтов, связанных с этой сетевой зоной.
Почему это важно
Случай показывает две стороны медали:
- 💡 Для исследователей — редкая возможность «шолдер-серфить» хакера, увидеть, как именно он ищет цели, настраивает инструменты, отлаживает атаки. Обычно такие данные доступны лишь из фрагментов логов или артефактов.
- ⚠️ Для индустрии — подтверждение того, что современные атаки всё чаще комбинируют автоматизацию, ИИ и легальные сервисы. Стирается грань между «белым» и «чёрным» софтом — один и тот же инструмент может быть частью CRM или частью фишинговой кампании.
Моё мнение
Я вижу в этой истории не просто курьёз, а сигнал: злоумышленники учатся работать так же, как IT-стартапы. Они используют рекламу, подписки на SaaS, AI-сервисы для ускорения процессов. Это значит, что борьба с ними — это не только про патчи и антивирусы, но и про наблюдение за поведением, про аналитику на уровне инфраструктуры и бизнес-логики.
Случай Huntress напомнил, что EDR-агенты — это не просто софт для защиты конечных точек, а полноценные сенсоры, которые могут показать весь контекст угрозы. И да, иногда даже сами злоумышленники помогают раскрыть карты.
📎 Источник: Huntress Blog — Rare Look Inside Attacker Operation