Tysiące hakerów wykorzystuje nowe narzędzie Dark Utilities w usłudze C2-as-a-S

Badacze bezpieczeństwa Cisco Talos odkryli nową usługę o nazwie Dark Utilities, która zapewnia cyberprzestępcom łatwy i niedrogi sposób na utworzenie centrum dowodzenia i kontroli (C2) dla przeprowadzenia ich ataków.

Usługa Dark Utilities zapewnia cyberprzestępcom platformę obsługującą złośliwe oprogramowanie, dla systemów Windows, Linux, skrypty Python oraz eliminuje uciążliwość związaną z koniecznością implementacji kanału komunikacyjnego C2.

Serwer C2 jest wykorzystywany do utrzymywania komunikacji oraz sterowania zainfekowanymi komputerami. Hakerzy kontrolują swoje złośliwe oprogramowanie, wysyłają polecenia, konfiguracje oraz otrzymują zwrotnie dane z zaatakowanych systemów.

Dark Utilities to usługa „C2-as-a-service” (C2aaS), która reklamowana jest jako niezawodna, ​​anonimowa infrastruktura C2, wszystkie wymagane funkcje za cenę początkową jedynie 9,99 EUR.

Z raportu Cisco Talos wynika, że z usługi korzysta około 3 000 aktywnych „abonentów”, co przynosi operatorom około 30 000 euro przychodów.

Portal logowania do Dark Utilities Źródło Cisco

Dark Utilities pojawiło się na początku 2022 roku i oferuje pełne możliwości C2 zarówno w sieci Tor, jak i w normalnej sieci. Obsługuje złośliwe oprogramowanie w „międzyplanetarnym systemie plików” ( IPFS ) – zdecentralizowanym systemie sieciowym do przechowywania i udostępniania danych.

Obsługiwanych jest wiele architektur i wydaje się, że operatorzy planują rozszerzenie listy, aby zapewnić większy zestaw opcji urządzeń, które mogą być celem ataków.

Wybór platformy  Źródło Cisco

Badacze z Cisco Talos twierdzą, że wybór systemu operacyjnego generuje ciąg poleceń, który „aktorzy zagrożeń zazwyczaj osadzają w skryptach PowerShell lub Bash w celu ułatwienia pobierania i wykonywania ładunku na zaatakowanych maszynach”.

Wybrany ładunek ustanawia również trwałość w systemie docelowym, tworząc klucz rejestru w systemie Windows, wpis Crontab lub usługę Systemd w systemie Linux.

Zdaniem naukowców panel administracyjny zawiera wiele modułów do przeprowadzania różnych rodzajów ataków, w tym rozproszonej odmowy usługi (DDoS) i cryptojackingu.

Panel sterowania Źródło Cisco

Dziesiątki tysięcy cyberprzestępców obecnie subskrybuje platformę, z bardzo niskim kosztami, Dark Utilities będzie zapewne przyciągał co raz szerszą rzeszę mniej wykwalifikowanych przeciwników.

Firma Cisco Talos opracowała wskaźniki naruszenia bezpieczeństwa dla Dark Utilities, które mogą pomóc firmom w obronie przed złośliwym oprogramowaniem użytym za pomocą tej platformy.