Компания Cybereason опубликовала отчет, который гласит, что на протяжении многих лет некая хак-группа почти ежедневно выпускала троянизированные хакерские инструменты, предназначенные для заражения других злоумышленников и получения доступа к их компьютерам. Так, хакерские инструменты были заражены малварью njRAT.
Изучая деятельность этой группировки, исследователям удалось отследить более 1000 образцов njRAT, что свидетельствует о немалом размахе данной кампании. По информации аналитиков, инструменты с бэкдорами распространяются через хакерские форумы и блоги, посвященные обмену бесплатными тулзами для взломов.«Похоже, какой-то индивид или группа людей выбрали весьма хитрый путь, стремясь получить доступ к большему количеству машин, — рассказали аналитики Cybereason зданию ZDNet. — Вместо того, чтобы активно взламывать машины самостоятельно, они попросту троянизировали инструменты, распространяя их бесплатно и взламывали людей, которые использовали эти решения».
Некоторые из зараженных решений предназначены для хакерских атак, тогда как другие лишь позволяют использовать коммерческие хакерские инструменты, не покупая лицензии. Так, были найдены зараженные скраперы для сайтов, сканеры эксплоитов, генераторы Google dork, инструменты для выполнения автоматических SQL-инъекций, инструменты для брутфорс-атак и проверки достоверности утечек учетных данных, и даже зараженные версии браузера Chrome, тоже с трояном njRAT.
Зараженные инструменты обычно поддерживали связь с парой доменов, одним из которых был capeturk[.]com, зарегистрированный с использованием учетных данных некоего гражданина Вьетнама. И хотя сведения о владельцах доменов часто бывают фальшивыми, особенно если домен используется в рамках вредоносной кампании, специалисты Cybereason отмечают, что многие зараженные утилиты так же были загружены в VirusTotal с вьетнамского IP-адреса. Судя по всему, сначала хак-группа проверяла частоту обнаружения своей малвари на VirusTotal, а затем размещала ее на форумах, блогах и в других местах. Основываясь на этих данных, аналитики делают вывод, что, вероятнее всего, группировка действительно базируется во Вьетнаме.