ESET помогла сорвать инфраструктуру Amadey и Stealc

ESET помогла сорвать работу Amadey и Stealc в рамках Operation Endgame

Исследователи ESET сыграли ключевую роль в операции Operation Endgame, нацеленной на ликвидацию ботнета Amadey и стиллера Stealc. Оба семейства вредоносного ПО распространяются по модели MaaS — malware-as-a-service, что делает их особенно удобными для аффилированных лиц и усложняет противодействие со стороны специалистов по кибербезопасности.

По данным отчета, благодаря глубокому техническому анализу и постоянному отслеживанию инфраструктуры ESET удалось предоставить критически важную информацию, включая данные серверов управления C&C, ключи шифрования и другие индикаторы угроз. Это позволило нарушить работу примерно 50 доменов и почти 200 активных серверов C&C, связанных с этими семействами ВПО.

Что известно о Amadey

Amadey — это модульный загрузчик ВПО, который в первую очередь используется для распространения дополнительного вредоносного ПО. Помимо этого, он обладает функциями эксфильтрации данных и удаленного доступа.

Семейство работает по модели pay-per-build: аффилированные лица оплачивают лицензии и дополнительные сборы за создание новых сборок. Такой подход дает им высокий уровень контроля над схемами заражения, которые обычно строятся вокруг:

• поддельных обновлений программного обеспечения;
• загрузчиков ВПО;
• прочих методов первоначального проникновения.

Для связи с C&C Amadey использует HTTP и трехэтапный жизненный цикл, включающий начальные маяки, регистрацию и получение задач. Команды передаются через структурированные командные строки.

Чем отличается Stealc

Stealc — более традиционный стиллер, ориентированный на кражу чувствительных учетных данных и файлов по предопределенным шаблонам. В отличие от Amadey, он предлагает аффилированным лицам модель подписки, которая позволяет создавать неограниченное количество сборок.

Это снижает операционные затраты и упрощает управление заражениями, что делает Stealc удобным инструментом в арсенале киберпреступников.

Его модель связи также отличается: данные передаются в формате JSON и инкапсулируются в зашифрованные с помощью RC4 сообщения. Вредонос отвечает на конкретные команды, определяемые его конфигурацией.

Как ESET помогла в атрибуции и пресечении

Ключевым достижением ESET стала разработка метода кластеризации, позволяющего группировать образцы ВПО для более точного отслеживания и выявления уязвимых точек в инфраструктуре противника.

Этот подход помог выявить взаимосвязанные кластеры в экосистемах Amadey и Stealc. При этом некоторые из них показали высокий уровень координации между инфраструктурами, что дополнительно осложняло операцию по их нейтрализации.

Отдельно отмечается, что ESET отследила значительное количество кластеров в обеих экосистемах. Это означает отсутствие единой точки отказа и, как следствие, более сложную задачу по полному пресечению активности.

Что дальше

Долгосрочное отслеживание, техническая экспертиза ESET, а также сотрудничество с правоохранительными органами и партнерами внесли значительный вклад в ослабление инфраструктуры, обеспечивавшей работу Amadey и Stealc.

В рамках Operation Endgame продолжается мониторинг возможных попыток возрождения этих семейств ВПО. Цель — своевременно выявлять новые активности и передавать разведывательную информацию для противодействия будущим угрозам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "ESET помогла сорвать инфраструктуру Amadey и Stealc".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.