Дорого, мощно, глупо. Хакеры продали «элитный» софт на тысячи долларов, но забыли зашифровать C2-трафик
NewsMakerПлатформа Weyhro C2 внедряет код в легитимные процессы системы для развёртывания невидимой рабочей среды.
В киберпреступной среде зафиксировано появление нового инструмента управления заражёнными системами под названием Weyhro C2. Его продвижение совпало с активностью одноимённой вымогательской группы и указывает на попытку диверсифицировать источники дохода за счёт продажи готовых наступательных решений.
В начале декабря пользователь с ником Weyhro разместил на одном из форумов объявление о продаже Weyhro C2, представив продукт как продвинутый набор для скрытых операций с полноценной серверной инфраструктурой управления. Инструмент позиционируется как средство обхода антивирусов и систем обнаружения атак в корпоративных сетях и охватывает все этапы компрометации — от первичного доступа до закрепления и дальнейшего развития атаки.
Архитектура Weyhro C2 построена по модульному принципу. В состав входят удалённая командная оболочка, прокси SOCKS5 для туннелирования трафика, механизм скрытого удалённого рабочего стола HVNC с возможностью перехвата сессий браузера, а также модуль для работы с билетами Kerberos. Дополнительно заявлены функции управления файлами и развитые методы уклонения от обнаружения, включая полиморфизм, шифрование данных и отключение встроенных защитных механизмов Windows.
Специалисты отмечают, что вредоносный агент работает исключительно в памяти и загружается с помощью отдельного загрузчика. Распространение осуществляется по подписке стоимостью около 3000 долларов в месяц, оплата принимается в криптовалюте. При этом продавец отдельно указывает запрет на использование инструмента в странах СНГ.
В киберпреступной среде зафиксировано появление нового инструмента управления заражёнными системами под названием Weyhro C2. Его продвижение совпало с активностью одноимённой вымогательской группы и указывает на попытку диверсифицировать источники дохода за счёт продажи готовых наступательных решений.
В начале декабря пользователь с ником Weyhro разместил на одном из форумов объявление о продаже Weyhro C2, представив продукт как продвинутый набор для скрытых операций с полноценной серверной инфраструктурой управления. Инструмент позиционируется как средство обхода антивирусов и систем обнаружения атак в корпоративных сетях и охватывает все этапы компрометации — от первичного доступа до закрепления и дальнейшего развития атаки.
Архитектура Weyhro C2 построена по модульному принципу. В состав входят удалённая командная оболочка, прокси SOCKS5 для туннелирования трафика, механизм скрытого удалённого рабочего стола HVNC с возможностью перехвата сессий браузера, а также модуль для работы с билетами Kerberos. Дополнительно заявлены функции управления файлами и развитые методы уклонения от обнаружения, включая полиморфизм, шифрование данных и отключение встроенных защитных механизмов Windows.
Специалисты отмечают, что вредоносный агент работает исключительно в памяти и загружается с помощью отдельного загрузчика. Распространение осуществляется по подписке стоимостью около 3000 долларов в месяц, оплата принимается в криптовалюте. При этом продавец отдельно указывает запрет на использование инструмента в странах СНГ.