Acemi bir siber suç aktörü, operasyonlarını kolaylaştırmak için Proton66 adlı Rus kurşun geçirmez bir barındırma (BPH) sağlayıcısının hizmetlerinden yararlandığı gözlendi.
Bulgular, CybersecureProtect adlı sahte bir web sitesi keşfettikten sonra etkinliği tespit eden Domaintools’tan geliyor[.]com, bir antivirüs hizmeti olarak görünen Proton66’da barındırıldı.
Tehdit istihbarat firması, alan adında kötü niyetli altyapısını açık bırakan ve böylece sunucuda düzenlenen kötü amaçlı yükleri ortaya çıkaran bir Operasyonel Güvenlik (OPSEC) başarısızlığı tespit ettiğini söyledi.
“Bu vahiy bizi bir tavşan deliğini, Coquettte olarak bilinen ortaya çıkan bir tehdit aktörünün operasyonlarına götürdü – Proton66’nın kötü amaçlı yazılımları dağıtmak ve diğer yasadışı faaliyetlere dahil olmak için kurşun geçirmez barındıran amatör bir siber suçlu,” dedi.
Prospero olarak bilinen başka bir BPH hizmetine de bağlı Proton66, gootloader, Matanbuchus, Spynote, Coper (aka Octo) ve Socgholish gibi masaüstü ve Android kötü amaçlı yazılımları dağıtan çeşitli kampanyalara atfedildi. Hizmette barındırılan kimlik avı sayfaları, kullanıcıları bankacılık kimlik bilgilerine ve kredi kartı bilgilerini girmeye kandırmak için SMS mesajları aracılığıyla yayılmıştır.
Coquettte, proton66 ekosisteminin kötü yazılımları meşru antivirüs araçları kisvesi altında dağıtmak için sunulan faydalardan yararlanan böyle bir tehdit oyuncusudur.
Bu, daha sonra bir komut ve kontrol (C2) sunucusundan ikincil yükleri teslim etmekten sorumlu bir uzak sunucudan ikinci aşamalı bir kötü amaçlı yazılım indiren bir Windows yükleyicisi içeren bir Zip Arşivi (“Cybersecure Pro.zip”) biçimini alır.[.]TF “).
İkinci aşama, geçmişte Lumma, Vidar ve Raccoon gibi bilgi samanlılarını dağıtmak için kullanılan Rugmi (diğer adıyla Penguish) olarak sınıflandırılan bir yükleyicidir.
Coquettte’nin dijital ayak izlerinin daha fazla analizi, “19 yaşındaki bir yazılım mühendisi, yazılım geliştirme derecesi alarak” olduğunu iddia ettikleri kişisel bir web sitesini ortaya çıkardı.
Dahası, CIA[.]TF etki alanı “root@coquettte e -posta adresine kaydedildi[.]com, “Tehdit oyuncusunun C2 sunucusunu kontrol ettiğini ve sahte siber güvenlik sitesini kötü amaçlı yazılım dağıtım merkezi olarak çalıştırdığını onaylamak.
Domaintools, “Bu, Coquettte’nin siber suç çabalarında amatör hatalarla (açık dizin gibi) hizalanan genç bir birey, muhtemelen bir öğrenci olduğunu gösteriyor.” Dedi.
Tehdit oyuncusu girişimleri kötü amaçlı yazılımlarla sınırlı değildir, çünkü yasadışı maddeler ve silahlar üretmek için rehberler satan diğer web sitelerini de yürütüyorlar. Coquettte’nin, Horrid ismine giren daha geniş bir hack grubuna gevşek bir şekilde bağlı olduğuna inanılıyor.
Şirket, “Üst üste binen altyapı paterni, bu sitelerin arkasındaki bireylerin kendilerine ‘korkunç’ olarak adlandırabileceğini, Coquettte’nin yalnız bir aktörden ziyade üyelerinden birinin takma adı olduğunu gösteriyor.” Dedi.
Diyerek şöyle devam etti: “Grubun siber suç ve yasadışı içeriğe bağlı birden fazla alan ile ilişkisi, ilham verici veya amatör siber suçlular için bir kuluçka görevlisi olarak işlev gördüğünü ve kendilerini yeraltı hackleme çevrelerinde kendilerini kurmak isteyenlere kaynak ve altyapı sağladığını gösteriyor.”