СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:23
#ИБ

Nexus C2: новый фреймворк для кражи данных и удаленного доступа

Nexus C2 — недавно раскрытый command-and-control framework, который, по данным анализа, сочетает в себе развитую функциональность для операторов и одновременно демонстрирует серьезные недостатки в области security. Панель управления, размещенная на IP-адресе, связанном с Limited Network LTD в Singapore, была обнаружена с помощью automated scanner и вскрыла значительный объем технических деталей благодаря анализу frontend code.

Исследование показывает, что framework ориентирован на реальное время взаимодействия, поддерживает multi-user operations и позволяет нескольким operators одновременно работать с одним и тем же host. При этом архитектура указывает на иерархическую модель доступа: в payload builder есть опция disable_antisandbox, доступная только для master-accounts.

Что умеет Nexus C2

Среди функций, доступных оператору, выделяются как типичные для advanced malware-platform возможности, так и более специализированные инструменты:

  • real-time communication с зараженными системами;
  • совместная работа нескольких operators над одним host;
  • конструктор payload с управляемыми параметрами;
  • развертывание updates на client systems через one-line PowerShell command;
  • интерфейс команд для управления spyware- и theft-oriented функциями.

При этом исследователи обнаружили существенный промах: в JavaScript был найден hardcoded API key. Для инструмента такого уровня это серьезный security gap, поскольку подобная ошибка упрощает анализ, компрометацию инфраструктуры и потенциальное вмешательство в операции.

Nexus RAT: основной payload

Анализ payload выявил несколько образцов malware, преимущественно backdoors, которые активно загружались на VirusTotal. Это указывает на то, что автор или группа разработчиков продолжают тестирование и доработку инструмента.

Основной компонент, идентифицированный как Nexus RAT, представляет собой 64-bit Windows PE executable. Для связи он использует HTTPS, позже обновленный до WebSocket, с жестко заданным C2 domain nexusc2.works.

Функции слежения и кражи данных

Интерфейс operator commands демонстрирует широкий набор возможностей, характерных для современных remote access trojan и credential theft tooling. В частности, реализованы:

  • keylogging;
  • video capture с webcam;
  • enumeration Wi-Fi access points;
  • сбор учетных данных из популярных browsers и applications;
  • удаленное выполнение действий на зараженной системе.

Keylogger работает в отдельном thread и использует low-level Windows hooks для перехвата пользовательского ввода. Это позволяет собирать чувствительную информацию без заметного влияния на поведение системы.

Отдельного внимания заслуживают механизмы кражи credentials. По данным анализа, вредоносное ПО умеет обходить защитные меры в Chrome и Firefox через DLL injection в процессы браузеров. Кроме того, атаки нацелены и на приложения Discord, Steam и Roblox.

Persistence и обход защиты

Для закрепления в системе используется сочетание нескольких техник. Среди них:

  • encrypted service name;
  • попытки COM-based UAC bypass для получения elevated access;
  • custom DLL injection procedures, которые избегают часто отслеживаемых методов.

Такой подход говорит о том, что авторы уделили внимание evasion techniques и стремились снизить вероятность обнаружения со стороны защитных решений.

Инфраструктура и публичная активность

Исследование также показало, что фреймворк связан с сообществом через Telegram channel и Discord server. Это демонстрирует определенный уровень открытости разработчиков, несмотря на очевидно illegal nature деятельности.

По собранным данным, инфраструктура C2 зарегистрировала как минимум 287 unique hosts в нескольких странах. Основная концентрация наблюдается в Russia, USA и Singapore. При этом вредоносные проверки выполнялись операторами с использованием различных VPN и proxy services.

Почему это важно

Nexus C2 показывает, насколько доступными становятся sophisticated malware development tools, включая решения, вероятно созданные с использованием artificial intelligence. Несмотря на operational flaws, framework предлагает достаточно возможностей для масштабных malicious actions — от credential theft до remote access.

Как отмечают исследователи, распространение подобных C2-infrastructure подчеркивает эволюцию malware landscape и усиливает потребность в постоянной threat intelligence, а также в развитии mitigation strategies.

Даже при заметных недостатках безопасности такие платформы остаются опасными именно из-за сочетания доступности, функциональности и масштабируемости.

Для специалистов по cybersecurity Nexus C2 — это еще одно напоминание о том, что современные threat actors все чаще используют гибкие, многофункциональные инструменты, а защита требует не только обнаружения payload, но и мониторинга инфраструктуры, каналов коммуникации и признаков operator behavior.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: