Dark Utilities C2 服務吸引了成千上萬的網絡犯罪分子
自今年早些時候推出以來,一個讓網絡犯罪分子更容易建立命令和控制 (C2) 服務器的平臺已經吸引了 3,000 名用戶,并且可能會在未來幾個月內擴大其客戶名單。
該服務稱為 Dark Utilities,提供全方位的 C2 功能,為攻擊者提供一個更簡單、更便宜的平臺,用于發起遠程訪問、命令執行、加密貨幣挖掘和分布式拒絕服務 (DDoS) 攻擊。該服務的運營商還通過在 Discord 和 Telegram 消息應用程序上創建的社區為平臺用戶提供技術支持和幫助。
Dark Utilities 是惡意軟件即服務 (MaaS) 和勒索軟件即服務(RaaS) 的最新示例,它們通過讓網絡犯罪分子在自己的漏洞利用基礎上從技能較低的程序員那里獲利,從而使網絡犯罪分子的收入多樣化。
它還與其他趨勢相呼應,包括初始訪問代理的興起,他們破壞系統,然后將該訪問權出售給使用它發動攻擊的其他人。
C2 服務器在攻擊期間充當網絡犯罪分子的樞紐,使他們能夠通過發送命令和有效負載以及接收從受感染系統中泄露的數據來管理惡意軟件。通過 Dark Utilities,攻擊者獲得了一個平臺,該平臺支持 Windows、Linux 和基于 Python 的攻擊的有效負載,而無需創建通往 C2 服務器的通道。
“這是加快 RaaS 和 MaaS 基礎設施開發和降低門檻的關鍵組成部分,”LARES Consulting 的首席運營官 Andrew Hay 告訴The Register。“有了這樣一個易于使用的平臺,開發人員只需擔心構建或修改其攻擊的惡意軟件組件。”
它也很便宜,而且似乎是音量播放。據思科 Talos 威脅情報組織的研究人員稱,用戶只需 9.99 歐元(10.17 美元)即可訪問托管在透明互聯網和 Tor 網絡上的平臺以及相關的有效負載和 API 端點。在一篇博文中,Talos 研究人員寫道,自 C2 平臺建立以來的幾個月里,它已經產生了大約 30,000 歐元——超過 30,500 美元。
Talos 研究人員寫道:“鑒于與平臺提供的功能數量相比成本相對較低,它可能對試圖破壞系統而不需要他們在惡意軟件有效負載中創建自己的 C2 實現的對手具有吸引力。” “我們預計該平臺將繼續迅速擴大其用戶群。這可能會導致試圖使用該平臺建立 C2 的野外惡意軟件樣本數量增加。”
Hay 說:“如果一項服務可以被修改以向更多的受眾提供功能,并且價格是可消費的,那么服務產品的發展將繼續下去。”
Talos 研究人員寫道,幾乎在 Dark Utilities 建立后不久,他們就在野外看到惡意軟件樣本使用該服務在受感染的 Windows 和 Linux 系統上建立 C2 通信通道和遠程訪問功能。
C2 即服務 (C2aaS) 平臺最近增加了對其他架構的支持,包括 ARM64 和 ARMV71,可用于定位嵌入式設備,如路由器、電話和物聯網 (IoT) 設備。
該平臺使用星際文件系統 (IPFS) 點對點網絡來托管有效負載,以使它們更持久、更容易隱藏和更難刪除。網絡安全供應商 Trustwave 上個月寫道,出于這些原因,威脅組織如何越來越多地利用IPFS 的去中心化性質進行網絡釣魚攻擊。
Talos 研究人員寫道,IPFS “明確旨在防止中央當局對托管在那里的內容采取行動”。“我們觀察到攻擊者越來越多地利用這種基礎設施進行有效載荷托管和檢索,因為它有效地提供了‘防彈托管’。”
Dark Utilities 使用 Discord 進行身份驗證。一旦通過身份驗證,用戶就會看到一個儀表板,用于生成針對操作系統的有效負載,然后針對目標主機進行部署。創建 C2 通道后,攻擊者可以完全訪問系統以運行有效負載。
根據 Talos 的說法,一旦選擇了操作系統,就會創建一個命令字符串,攻擊者會將其嵌入到 PowerShell 或 Bash 中。為了獲得持久性,有效負載為 Windows 系統創建注冊表項,或在 Linux 機器上創建 Crontab 條目或 Systemd 服務。
研究人員寫道,Dark Utilities 很可能是由一個使用綽號 Inplex-sys 的角色創建和管理的。該角色在網絡犯罪領域沒有太多歷史——盡管就在 Dark Utilities 推出之后,它就在備受矚目的 Lapsus$ Group 的 Telegram 頻道中進行了宣傳。他們認為 Inplex-sys 位于法國。
鑒于 Dark Utilities 能夠在短時間內收集用戶的速度有多快——以及未來幾個月吸引更多用戶的可能性有多大——“組織應該了解這些 C2aaS 平臺并確保他們有適當的安全控制來幫助保護他們的環境,”研究人員寫道。
這包括用于保護端點和檢測攻擊者發送的惡意電子郵件的工具。企業還需要下一代防火墻設備來檢測與來自 Dark Utilities 用戶的威脅相關的惡意活動,以及用于識別惡意二進制文件的惡意軟件分析工具。
他們還應該使用多因素身份驗證、阻止對可能惡意站點的訪問以及在用戶訪問可疑站點之前對其進行測試的工具。
LARES 的 Hay 也提倡教育。
“如果一個組織沒有不斷擴展其關于不斷變化的威脅和工具的知識,如果攻擊是針對它的方式,它可能會發現自己措手不及,”他說。“了解工具如何工作并檢測它們的存在 [和] 活動應該是任何運營安全監控和事件響應計劃的目標。”
