Разоблачение Venom Spider'a

[admin]

Ресерчеры из eSentire установили личность злоумышленника, стоящего за вредоносным ПО Golden Chickens.

В сети злоумышленник известен под псевдонимом badbullzvenom и занимался реализацией Golden Chickens, также известного как Venom Spider, по схеме MaaS.

Более того, как стало известно, разработчики малвари связаны и с другими хакерскими инструментами, такими как Taurus Builder (программное обеспечение для создания вредоносных документов), More_eggs (загрузчик JavaScript), VenomLNK, TerraLoader, TerraRecon, TerraStealer, TerraTV, TerraPreter и TerraCrypt.

Согласно отчету, киберарсенал злоумышленников использовался известными хакерскими группами, включая Cobalt Group, Evilnum, FIN6, а общий ущерб от деятельности оценивается в 1,5 млрд. долл.

Деанонимизиция прошла в рамках 16-месячного расследования и OSINT-марафона, проведенного подразделением реагирования на угрозы eSentire.

Исследователи обнаружили связь учетной записи badbullzvenom с аккаунтом пользователя Frapstar, представлявшимся неким Чаком из Монреаля.

Изучение его цифрового следа позволило специалистам собрать воедино всю личность: его настоящее имя, фотографии, адрес, родителей, друзей и многое другое.

Впервые Frapstar попал в поле зрения Trend Micro еще в 2015 году, когда в одном из отчетов злоумышленник был идентифицирован как кардер и имел несколько учетных записей на разных хакерских форумах, одна из которых - badbullzvenom.

Предполагается, что Frapstar является одним из двух злоумышленников, стоящих за использованием учетной записи badbullzvenom на хакерском форуме Exploit.in.

Личность второго хакера пока не установлена, но, как предполагают ресерчеры, он может находиться в Молдове или Румынии.

Несмотря на разоблачение, ассортимент хакеров не поубавился, а продажи набирают обороты, как показывают наблюдения eSentire.

source:
esentire.com/web-native-pages/unmasking-venom-spider
s3.ca-central-1.amazonaws.com/esentire-dot-com-assets/assets/resourcefiles/Unmasking_VenomSpider_Report-Final.pdf

 

[admin]

Ресерчеры ИБ-компании eSentire объявили о деанонимизации оператора вредоноса Golden Chickens, который, как считают исследователи, был идейным вдохновителем проекта. Его настоящее имя специалисты оставили в секрете, отметив, впрочем, что им известно не только оно, но и имена его жены, матери и двух сестер. В своем исследовании они назвали подозреваемого Джеком.

В материале отмечается, что Джек использовал два аккаунта на форуме Exploit, причем делал это совместно со своим сообщником, который был деанонимизирован той же ИБ-компанией в августе 2022 года. Его партнер скрывался за ником Chuck from Montreal, и давал Джеку пользоваться. Параллельно Джек использовал аккаунт badbullzvenom.

ИБ-эксперты заявили, что Джек живет в Бухаресте (Румыния), и у него есть белый бизнес — компания, занимающаяся импортом и экспортом овощей и фруктов. Его работа в онлайне началась в 2008 году, когда хакеру было всего 15 лет. Тогда он интересовался вредоносами и инфостилерами, однако со временем вырос в разработчика стилеров паролей и шифровальщиков.

В 19-летнем возрасте Джек столкнулся с массовыми обвинениями в неспособности оказывать высокий уровень поддержки покупателям его программ и заявил о переезде в Пакистан. Точных данных о том, состоялось ли это путешествие на самом деле, нет. Однако специалисты eSentire нашли сходство в тактиках и программных особенностях пакистанского вредоноса SideCopy и ранней разработки Джека VenomLNK.

Эксперты считают, что Джек и Chuck from Montreal познакомились в 2013 году. Тогда Chuck from Montreal на одной из даркнет-площадок указал Jabber, который Джек использовал на одном из первых своих аккаунтов на форумах. Судя по всему, чтобы прошлая репутация не портила Джеку бизнес, он договорился о сотрудничестве с человеком, у которого в даркнет-биографии было куда меньше темных пятен. Совместными усилиями сообщники продвигали инструмент VenomKit, который спустя несколько лет превратился во вредоносный набор Golden Chickens.

Что любопытно, Джек после переезда на чужие аккаунты, судя по всему, не сменил модель поведения. В июле 2022 года на Exploit появился (Для просмотра ссылки Войди или Зарегистрируйся) арбитраж от новорега с платной регистрацией и ником babay. Сумма претензии составляла миллион долларов.

«Ответчик кинул, не выполнил свои обязательства, несет полную ахинею, на контакт не идет, деньги возвращать отказывается. Ситуация приватная, логи скинул админу. За любую информацию, которая приведет к его деанонимизации, плачу 200 тысяч долларов через гарант», — написал babay.

Тогда поиски badbullzvenom не увенчались успехом. Однако теперь babay точно знает, кому можно отправить деньги за конкретные данные о разработчике Golden Chickens.

source:
esentire.com/web-native-pages/the-hunt-for-venom-spider-part-2
orum.exploit.in/topic/209436

 

[stihl]

Специалисты Insikt Group обнаружили в сети два новых цифровых инструмента, предназначенных для кражи паролей и опустошения криптовалютных кошельков. За разработкой стоит группировка Golden Chickens (также известная как Venom Spider), действующая по модели "вредоносное ПО как услуга" (malware-as-a-service, MaaS).

Исследование, проведенное с января по апрель 2025 года, выявило десять образцов программ под названиями TerraStealerV2 и TerraLogger. Обе находятся на ранней стадии и пока не обладают тем уровнем скрытности, который обычно характерен для продуктов Golden Chickens.

Первый инструмент, TerraStealerV2, нацелен на работу с базой данных Chrome "Login Data". Программа извлекает оттуда сохраненные пароли и данные расширений браузера, однако пока не способна обойти защитный механизм Application Bound Encryption (ABE). Эта система шифрования, внедренная в Chrome в середине 2024 года, обеспечивает защиту учетных данных на системном уровне. Неспособность обхода ABE указывает либо на незавершенность разработки, либо на использование устаревших методов взлома.

Проникнув в систему, TerraStealerV2 передает собранную информацию через Telegram и подозрительный файлообменный домен wetransfers[.]io. Распространяется вредонос в различных форматах — LNK, MSI, DLL и EXE. В маскировке присутствия помогают легитимные системные утилиты Windows: regsvr32.exe и mshta.exe. Такой подход — эксплуатация стандартных инструментов администрирования и выполнения скриптов — позволяет обходить защитные механизмы конечных точек.

Второй инструмент, TerraLogger, представляет собой автономный модуль для записи нажатий клавиш. Программа устанавливает низкоуровневые перехватчики и сохраняет собранные данные локально, не имея встроенных каналов связи с командным центром. Аналитики предполагают, что этот компонент создан для интеграции с более сложными комплексами.

За семилетнюю историю существования Golden Chickens сформировала обширную клиентскую базу среди киберпреступников. С 2018 года услугами синдиката пользуются такие известные группировки, как FIN6, Cobalt Group и белорусская Evilnum. На счету этих команд — серия разрушительных атак на авиационную отрасль, торговые сети и финансовые учреждения по всему миру, причинивших ущерб в миллиарды долларов. А среди конкретных жертв: авиаперевозчик British Airways, торговая платформа Newegg, билетный сервис Ticketmaster UK.

Технический арсенал Golden Chickens включает целую линейку специализированных инструментов. Для первичного проникновения в системы применяется VenomLNK — модифицированный ярлык Windows. Развертывание дополнительных компонентов обеспечивает загрузчик TerraLoader. Перехват сессий TeamViewer осуществляется через TerraTV. Шифрование данных для вымогательства производится с помощью TerraCrypt. Разведку и уничтожение информации выполняют модули TerraRecon и TerraWiper. Особое место в арсенале занимает бэкдор more_eggs и его облегченная JavaScript-версия Lite_more_eggs.

Подразделение eSentire по реагированию на угрозы установило связь между Golden Chickens и хакером , действующим под псевдонимом badbullzvenom. По данным расследования, за этим никнеймом прячется целая группа злоумышленников, базирующихся в Молдове и канадском Монреале.

recordedfuture.com/research/terrastealerv2-and-terralogger