ESET помогла сорвать инфраструктуру Amadey и Stealc
ESET помогла сорвать работу Amadey и Stealc в рамках Operation Endgame
Исследователи ESET сыграли ключевую роль в операции Operation Endgame, нацеленной на ликвидацию ботнета Amadey и стиллера Stealc. Оба семейства вредоносного ПО распространяются по модели MaaS — malware-as-a-service, что делает их особенно удобными для аффилированных лиц и усложняет противодействие со стороны специалистов по кибербезопасности.
По данным отчета, благодаря глубокому техническому анализу и постоянному отслеживанию инфраструктуры ESET удалось предоставить критически важную информацию, включая данные серверов управления C&C, ключи шифрования и другие индикаторы угроз. Это позволило нарушить работу примерно 50 доменов и почти 200 активных серверов C&C, связанных с этими семействами ВПО.
Что известно о Amadey
Amadey — это модульный загрузчик ВПО, который в первую очередь используется для распространения дополнительного вредоносного ПО. Помимо этого, он обладает функциями эксфильтрации данных и удаленного доступа.
Семейство работает по модели pay-per-build: аффилированные лица оплачивают лицензии и дополнительные сборы за создание новых сборок. Такой подход дает им высокий уровень контроля над схемами заражения, которые обычно строятся вокруг:
- поддельных обновлений программного обеспечения;
- загрузчиков ВПО;
- прочих методов первоначального проникновения.
Для связи с C&C Amadey использует HTTP и трехэтапный жизненный цикл, включающий начальные маяки, регистрацию и получение задач. Команды передаются через структурированные командные строки.
Чем отличается Stealc
Stealc — более традиционный стиллер, ориентированный на кражу чувствительных учетных данных и файлов по предопределенным шаблонам. В отличие от Amadey, он предлагает аффилированным лицам модель подписки, которая позволяет создавать неограниченное количество сборок.
Это снижает операционные затраты и упрощает управление заражениями, что делает Stealc удобным инструментом в арсенале киберпреступников.
Его модель связи также отличается: данные передаются в формате JSON и инкапсулируются в зашифрованные с помощью RC4 сообщения. Вредонос отвечает на конкретные команды, определяемые его конфигурацией.
Как ESET помогла в атрибуции и пресечении
Ключевым достижением ESET стала разработка метода кластеризации, позволяющего группировать образцы ВПО для более точного отслеживания и выявления уязвимых точек в инфраструктуре противника.
Этот подход помог выявить взаимосвязанные кластеры в экосистемах Amadey и Stealc. При этом некоторые из них показали высокий уровень координации между инфраструктурами, что дополнительно осложняло операцию по их нейтрализации.
Отдельно отмечается, что ESET отследила значительное количество кластеров в обеих экосистемах. Это означает отсутствие единой точки отказа и, как следствие, более сложную задачу по полному пресечению активности.
Что дальше
Долгосрочное отслеживание, техническая экспертиза ESET, а также сотрудничество с правоохранительными органами и партнерами внесли значительный вклад в ослабление инфраструктуры, обеспечивавшей работу Amadey и Stealc.
В рамках Operation Endgame продолжается мониторинг возможных попыток возрождения этих семейств ВПО. Цель — своевременно выявлять новые активности и передавать разведывательную информацию для противодействия будущим угрозам.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
