Dark Utilities C2 服务吸引了成千上万的网络犯罪分子
自今年早些时候推出以来,一个让网络犯罪分子更容易建立命令和控制 (C2) 服务器的平台已经吸引了 3,000 名用户,并且可能会在未来几个月内扩大其客户名单。
该服务称为 Dark Utilities,提供全方位的 C2 功能,为攻击者提供一个更简单、更便宜的平台,用于发起远程访问、命令执行、加密货币挖掘和分布式拒绝服务 (DDoS) 攻击。该服务的运营商还通过在 Discord 和 Telegram 消息应用程序上创建的社区为平台用户提供技术支持和帮助。
Dark Utilities 是恶意软件即服务 (MaaS) 和勒索软件即服务(RaaS) 的最新示例,它们通过让网络犯罪分子在自己的漏洞利用基础上从技能较低的程序员那里获利,从而使网络犯罪分子的收入多样化。
它还与其他趋势相呼应,包括初始访问代理的兴起,他们破坏系统,然后将该访问权出售给使用它发动攻击的其他人。
C2 服务器在攻击期间充当网络犯罪分子的枢纽,使他们能够通过发送命令和有效负载以及接收从受感染系统中泄露的数据来管理恶意软件。通过 Dark Utilities,攻击者获得了一个平台,该平台支持 Windows、Linux 和基于 Python 的攻击的有效负载,而无需创建通往 C2 服务器的通道。
“这是加快 RaaS 和 MaaS 基础设施开发和降低门槛的关键组成部分,”LARES Consulting 的首席运营官 Andrew Hay 告诉The Register。“有了这样一个易于使用的平台,开发人员只需担心构建或修改其攻击的恶意软件组件。”
它也很便宜,而且似乎是音量播放。据思科 Talos 威胁情报组织的研究人员称,用户只需 9.99 欧元(10.17 美元)即可访问托管在透明互联网和 Tor 网络上的平台以及相关的有效负载和 API 端点。在一篇博文中,Talos 研究人员写道,自 C2 平台建立以来的几个月里,它已经产生了大约 30,000 欧元——超过 30,500 美元。
Talos 研究人员写道:“鉴于与平台提供的功能数量相比成本相对较低,它可能对试图破坏系统而不需要他们在恶意软件有效负载中创建自己的 C2 实现的对手具有吸引力。” “我们预计该平台将继续迅速扩大其用户群。这可能会导致试图使用该平台建立 C2 的野外恶意软件样本数量增加。”
Hay 说:“如果一项服务可以被修改以向更多的受众提供功能,并且价格是可消费的,那么服务产品的发展将继续下去。”
Talos 研究人员写道,几乎在 Dark Utilities 建立后不久,他们就在野外看到恶意软件样本使用该服务在受感染的 Windows 和 Linux 系统上建立 C2 通信通道和远程访问功能。
C2 即服务 (C2aaS) 平台最近增加了对其他架构的支持,包括 ARM64 和 ARMV71,可用于定位嵌入式设备,如路由器、电话和物联网 (IoT) 设备。
该平台使用星际文件系统 (IPFS) 点对点网络来托管有效负载,以使它们更持久、更容易隐藏和更难删除。网络安全供应商 Trustwave 上个月写道,出于这些原因,威胁组织如何越来越多地利用IPFS 的去中心化性质进行网络钓鱼攻击。
Talos 研究人员写道,IPFS “明确旨在防止中央当局对托管在那里的内容采取行动”。“我们观察到攻击者越来越多地利用这种基础设施进行有效载荷托管和检索,因为它有效地提供了‘防弹托管’。”
Dark Utilities 使用 Discord 进行身份验证。一旦通过身份验证,用户就会看到一个仪表板,用于生成针对操作系统的有效负载,然后针对目标主机进行部署。创建 C2 通道后,攻击者可以完全访问系统以运行有效负载。
根据 Talos 的说法,一旦选择了操作系统,就会创建一个命令字符串,攻击者会将其嵌入到 PowerShell 或 Bash 中。为了获得持久性,有效负载为 Windows 系统创建注册表项,或在 Linux 机器上创建 Crontab 条目或 Systemd 服务。
研究人员写道,Dark Utilities 很可能是由一个使用绰号 Inplex-sys 的角色创建和管理的。该角色在网络犯罪领域没有太多历史——尽管就在 Dark Utilities 推出之后,它就在备受瞩目的 Lapsus$ Group 的 Telegram 频道中进行了宣传。他们认为 Inplex-sys 位于法国。
鉴于 Dark Utilities 能够在短时间内收集用户的速度有多快——以及未来几个月吸引更多用户的可能性有多大——“组织应该了解这些 C2aaS 平台并确保他们有适当的安全控制来帮助保护他们的环境,”研究人员写道。
这包括用于保护端点和检测攻击者发送的恶意电子邮件的工具。企业还需要下一代防火墙设备来检测与来自 Dark Utilities 用户的威胁相关的恶意活动,以及用于识别恶意二进制文件的恶意软件分析工具。
他们还应该使用多因素身份验证、阻止对可能恶意站点的访问以及在用户访问可疑站点之前对其进行测试的工具。
LARES 的 Hay 也提倡教育。
“如果一个组织没有不断扩展其关于不断变化的威胁和工具的知识,如果攻击是针对它的方式,它可能会发现自己措手不及,”他说。“了解工具如何工作并检测它们的存在 [和] 活动应该是任何运营安全监控和事件响应计划的目标。”
