Potentiële verbindingen tussen een op abonnementen gebaseerde crimeware-as-a-service (Caas)-oplossing en een gekraakte kopie van Cobalt Strike zijn vastgesteld in wat de onderzoekers vermoeden dat het wordt aangeboden als een hulpmiddel voor zijn klanten om post-exploitatie-activiteiten te organiseren.
Prometheus, zoals de dienst heet, kwam voor het eerst aan het licht in augustus 2021 toen cyberbeveiligingsbedrijf Group-IB details bekendmaakte van kwaadaardige softwaredistributiecampagnes die werden ondernomen door cybercriminele groepen om Campo Loader, Hancitor, IcedID, QBot, Buer Loader en SocGholish in België te verspreiden. en de VS
Het kost $ 250 per maand en wordt op Russische ondergrondse fora op de markt gebracht als een traffic direction system (TDS) om phishing-omleiding op grote schaal mogelijk te maken naar malafide bestemmingspagina’s die zijn ontworpen om malware-payloads op de beoogde systemen te implementeren.
“Prometheus kan worden beschouwd als een complete service/platform waarmee bedreigingsgroepen hun malware- of phishing-activiteiten gemakkelijk kunnen verspreiden”, zegt BlackBerry Research and Intelligence Team. zei in een rapport gedeeld met The Hacker News. “De belangrijkste componenten van Prometheus zijn een web van kwaadaardige infrastructuur, kwaadaardige e-maildistributie, illegale bestandshosting via legitieme services, verkeersomleiding en de mogelijkheid om kwaadaardige bestanden te leveren.”
Meestal wordt de omleiding geleid vanuit een van de twee hoofdbronnen, namelijk met behulp van kwaadaardige advertenties (ook wel malvertising genoemd) op legitieme websites, of via websites waarmee is geknoeid om kwaadaardige code in te voegen.
In het geval van Prometheus begint de aanvalsketen met een spam-e-mail met een HTML-bestand of een Google Docs-pagina die, bij interactie, het slachtoffer doorverwijst naar een gecompromitteerde website die een PHP-backdoor host die vingerafdrukken op de machine neemt om te bepalen of de dienen het slachtoffer met malware of leiden ze om naar een andere pagina die mogelijk een phishing-zwendel bevat.”
De vroegste activiteit in verband met de exploitanten van de service, die op hackforums de naam “Ma1n” dragen, zou zijn begonnen in oktober 2018, waarbij de auteur is gekoppeld aan andere illegale tools die hoogwaardige omleidingen en PowerMTA-kits bieden voor mailing naar zakelijke brievenbussen, alvorens Prometheus TDS op 22 september 2020 te koop aan te bieden.
Dat is niet alles. BlackBerry vond ook overlappingen tussen aan Prometheus gerelateerde activiteiten en een onwettige versie van de Cobalt Strike-software voor simulatie en dreigingsimulatie, wat de mogelijkheid vergroot dat de kopie wordt “verspreid door de Prometheus-operators zelf”.
“Het is mogelijk dat iemand die verbonden is met de Prometheus TDS deze gekraakte kopie onderhoudt en bij aankoop ter beschikking stelt”, aldus de onderzoekers. “Het is ook mogelijk dat deze gekraakte installatie wordt geleverd als onderdeel van een standaard playbook of een installatie van een virtuele machine (VM).”
Dit wordt bevestigd door het feit dat een aantal bedreigingsactoren, waaronder DarkCrystal RAT, FickerStealer, FIN7, Qakbot en IceID, evenals ransomwarekartels zoals REvil, Ryuk (Wizard Spider), BlackMatter en Cerber, de gekraakte exemplaar in kwestie in de afgelopen twee jaar.
Bovendien is hetzelfde Cobalt Strike Beacon ook waargenomen in combinatie met activiteiten die verband houden met een initiële toegangsmakelaar die wordt gevolgd als Zebra2104, wiens diensten zijn gebruikt door groepen als StrongPity, MountLocker en Phobos voor hun eigen campagnes.
“Hoewel TDS’s geen nieuw concept zijn, voegt het niveau van complexiteit, ondersteuning en lage financiële kosten geloofwaardigheid toe aan de theorie dat dit een trend is die waarschijnlijk zal toenemen in de nabije toekomst van het bedreigingslandschap”, merkten de onderzoekers op.
“Het aantal groepen dat gebruikmaakt van aanbiedingen zoals de Prometheus TDS, spreekt over het succes en de doeltreffendheid van deze illegale infrastructuur voor verhuurdiensten, die in wezen volwaardige ondernemingen zijn die de kwaadaardige activiteiten van groepen ondersteunen, ongeacht hun grootte, niveau van middelen of motieven.”
