Crypters And Tools. Один инструмент для тысяч вредоносных файлов

Статья носит исключительно информационный характер и не является инструкцией или призывом к совершению противоправных действий. Наша цель — рассказать о существующем инструменте, используемом злоумышленниками для генерации вредоносных цепочек атак с целью взлома организаций, и предупредить об активном использовании подобных инструментов по всему миру.

• В исследовании о группировке PhaseShifters, вышедшем в ноябре 2024 года, мы рассказывали об атаках на российские компании. В этих атаках часть вредоносных загрузчиков была сгенерирована с использованием сервиса Crypters And Tools.
• В статье описаны внутреннее устройство и инфраструктура Crypters And Tools.
• Исследование показало, что как минимум три группировки используют этот сервис (PhaseShifters, Blind Eagle, TA558).
• По нашим наблюдениям, криптор применяется только для преступных целей, и его функциональность это подтверждает.

• Сервис крипторов по подписке (crypter as a service, CaaS) — услуга, предоставляемая пользователям на платной основе, позволяющая зашифровывать, упаковывать или обфусцировать файлы (не обязательно вредоносные).
• PhaseShifters (Sticky Werewolf, UAC-0050, Angry Likho) — хакерская группировка, занимающаяся шпионажем. Ее атаки направлены на организации в России и Белоруссии, а также на польские государственные учреждения.
• TA558 — по изначальному описанию исследователей из Proofpoint, финансово-ориентированная киберпреступная группировка, которая атаковала гостиничные и туристические организации в основном в Латинской Америке. Группа также замечена за атаками на Североамериканский регион и Западную Европу и активна по крайней мере с 2018 года. В 2024 году мы зафиксировали, что атаки группировки направлены на страны по всему миру.
• Blind Eagle (APT-C-36) — APT-группировка, которая, предположительно, происходит из Южной Америки и с апреля 2018 года непрерывно проводит целевые атаки на государственные учреждения Колумбии и ряда стран Латинской Америки, а также на важные корпорации в финансовом секторе, нефтяной промышленности и других сферах. Обычно первоначальный вектор атаки — фишинговые письма с вложениями (зачастую это архивы с паролями), содержащими Remcos, QuasarRAT и т. п. В 2023–2024 годах замечена за атаками на другие страны, включая США.

После выхода статьи про хакерскую группировку PhaseShifters, атаковавшую российские компании и государственные органы, специалисты департамента Threat Intelligence экспертного центра безопасности Positive Technologies продолжили активно изучать инфраструктуру злоумышленников и используемые ими сервисы. Через некоторое время после начала поисков удалось обнаружить открытую директорию с экземпляром (приватным приложением) криптора, распространяемого по подписке, — Crypters And Tools. Тщательное изучение позволило расширить кластер активности, связанной с этим CaaS, найти новые узлы инфраструктуры и понять принцип работы криптора. Расширение кластера показало, что инструмент пользуется спросом у нескольких других группировок. Часть из них мы уже упоминали в статье о PhaseShifters: это TA558 и Blind Eagle.

Впервые Crypters And Tools был упомянут в сентябре 2023 года на одном из теневых форумов. Однако можно сказать, что сервис существовал и раньше, но под другим названием, а его функциональность порой была шире, чем сейчас. Например, если изучить Telegram-канал сервиса, то можно увидеть, что первые сообщения датируются 22 июля 2022 года.

Таким образом, можно воссоздать, под какими названиями Crypters And Tools существовал до этого.

Интерфейс Crypters And Tools часто изменялся.

Помимо интерфейса изменялись и поддерживаемые форматы генерируемых файлов — от VBS и BAT до PDF, DOC, DOCX и других.

Предположим, что у пользователя есть подписка на сервис. Рассмотрим схему, представленную ниже.

Как можно увидеть на рисунках 4.4 и 6, в интерфейсе криптора есть поле URL — BASE64. В нем пользователь указывает ссылку для генерации загрузчика своего вредоносного ПО. По ссылке должен скачиваться текстовый документ, содержимое которого — перевернутая Base64-строка с байтами исполняемого файла ВПО. Пользователь может размещать эти документы на любом сервисе, в том числе в своих репозиториях.

Независимо от формата сгенерированного загрузчика цепочка загрузки и запуска ВПО будет одинаковой.

Пример VBS-загрузчика представлен ниже.

Вызванный PowerShell-скрипт хранит Base64-строку в переменной $codigo (название переменной может быть другим, однако чаще всего встречаются $codigo, $sodigo, $dosigo). Декодировав его, мы получили следующий PowerShell-скрипт.

Декодированный PowerShell-скрипт содержит ссылку, необходимую для скачивания изображения. После скачивания в изображении ищется последовательность вида <<BASE64_START>>BASE64_ENCODE(Ande Loader)<<BASE64_END>> (пример байтов — на рис. 10). PowerShell-скрипт вызывает метод из декодированного исполняемого файла Ande Loader.

Ande Loader скачивает полезную нагрузку по ссылке, предоставленной пользователем криптора, декодирует ВПО и внедряет в один из легитимных процессов Windows. Кроме того, происходит закрепление в системе.

Ande Loader — загрузчик, написанный на языке C# и названный так из-за метода Ande3 в исходном коде. Утилиту применяли такие группировки, как Blind Eagle, PhantomControl и PhaseShifters, распространяя ее в закодированном виде внутри изображений. При этом в загрузчике нет ничего примечательного: подобные программы на языке C# можно найти на GitHub (рис. 12).

Из проанализированных файлов загрузчика было получено несколько PDB-путей (примеры — на рис. 13). Можно сказать, что разработка Ande Loader поддерживается создателями Crypters And Tools.

Мы проанализировали версию Crypters And Tools от ноября 2024 года. Приложение запаковано с помощью Themida, написано на языке C# с использованием дополнительных библиотек. После распаковки можно наблюдать следующую структуру классов.

FrmLogin и FrmRegister — классы, реализующие аутентификацию и регистрацию пользователя в крипторе. Внутри класса инициализируется клиент Firebase для получения пользовательских данных из хранилища. Лицензия привязана к HardwareID системы пользователя.

Класс FrmMain содержит основную логику приложения:

• Выбор генерируемого загрузчика (можно видеть в боковом меню, рис. 17).
• Конфигурирование параметров (тип загрузчика, способ закрепления, количество строк в обфусцированном скрипте и другие).
• Выбор легитимного процесса, в которое будет внедряться ВПО (поле Process Injection). Набор процессов, в которые можно внедряться, заранее определен и ограничен (представлен ниже).

• Генерация файла на основе выбранных пользователем параметров.

В ходе исследования приложения Crypters And Tools мы выявили следующую информацию об инфраструктуре:

• Для хранения данных, используемых при регистрации и входе, задействуется RTDB (real-time database) на сервисе Firebase:
  • https://onyx-zodiac-376415-default-rtdb.firebaseio.com — ссылка на базу данных.
  • Database — название базы данных.
• Приватный сервер, контролируемый Crypters And Tools, предназначен для хранения полезной нагрузки тех пользователей, которые, скорее всего, купили приватный вариант подписки. По умолчанию используется IP-адрес 91.92.254.14, доступ к файлам можно получить по ссылкам вида /Users_Api/<username>/<filename>.
• Для обновления приложения используется открытая директория. На момент написания статьи в бинарном файле указан IP-адрес 158.69.36.15 XAMMP-сервера. Файл с номером версии располагается по ссылке http://158.69.36.15/Upload/version.txt.
• Изображения с Ande Loader и другими скриптами можно найти по ссылкам:
  • http://servidorwindows.ddns.com.br/Files/js.jpeg
  • https://1017.filemail.com/api/file/get?filekey=<token_1>
  • http://servidorwindows.ddns.com.br/Files/vbs.jpeg
  • https://raw.githubusercontent.com/CryptersAndToolsOficial/ZIP/refs/heads/main/js_rmp.txt
  • https://raw.githubusercontent.com/CryptersAndToolsOficial/ZIP/refs/heads/main/vb_rmp.txt
• Создатели приложения администрируют сайт cryptersandtools.com и Telegram-канал CryptersAndTools.

Из особенностей инфраструктуры можно выделить следующие:

• Домены часто имеют подстроку с названием сервиса или именем автора (cryptersandtools, nodetecton).
• Изначально инфраструктура, скорее всего, состояла из домашних компьютеров и серверов: большинство IP-адресов располагались в одной и той же автономной системе, в одном и том же регионе — это ALGAR TELECOM SA в штате Сан-Паулу или Минас-Жерайс. Только потом владельцы сервиса перешли на использование хостингов, в том числе зарубежных.
• Большинство доменов работают с сертификатами Let’s Encrypt, имя субъекта в которых — localhost. Однако для ряда доменов существует следующий сертификат: Subject: CN=localhost C=BR OU=EG O=TAG ST=Some-State.
• XAMMP-серверы, на которых могут находиться как файлы пользователя, так и само приложение, обычно имеют одну и ту же структуру:
  • Стандартная директория /dashboard.
  • Директория Upload/.
  • Директория Files/.
• Приватный сервер для хранения файлов использует одни и те же пути в ссылках, и у них следующий паттерн: /Users_Api/<username>/.
• На IP-адресах инфраструктуры криптора находятся изображения с Ande Loader.

Исследование сетевой инфраструктуры также проводилось путем поиска дополнительных индикаторов через социальные сети, используемые сервисом для продвижения. Стоит отметить, что одним из разработчиков сервиса является пользователь с именем NoDetectOn. Эта информация помогла нам обнаружить дополнительные сетевые индикаторы. Был произведен поиск в YouTube-каналах и в Telegram.

В ходе исследования просмотрено более 130 медиафайлов (видео, скриншотов и других), опубликованных владельцем сервиса с целью показать работоспособность криптора. Благодаря этим материалам можно выделить несколько моментов. Во-первых, во время демонстрации работы приложения автор видео, несмотря на использование виртуальных машин и RDP-соединения, все равно показывал свой внешний IP-адрес в графическом интерфейсе ВПО (например, Remcos, XWorm).

Во-вторых, в большом количестве видеороликов использовался инструмент Process Hacker, в котором показан список активных процессов. В списке иногда можно обнаружить XAMMP-сервер, работающий в той же инфраструктуре. Это подтверждается тем, что домены, используемые серверами открытых директорий, соотносятся с IP-адресами того же провайдера, обнаруженными в графическом интерфейсе ВПО ранее.

Просмотрев видеоролики в группе криптора, можно сделать вывод, в какой стране он создан. Так, например, названия переменных в исходном коде, а также названия методов указаны на португальском языке. Кроме того, в видеороликах автор показывает почтовый ящик с электронными письмами, большая часть которых — на португальском. Можно отчетливо увидеть письмо о выводе 1009 BRL с биржи Binance (BRL — это бразильский реал) или упоминание CPF — индивидуального номера налогоплательщика, который присваивается всем лицам, платящим налоги в Бразилии.

С момента основания сервиса в 2022 году обнаружено около 3000 вредоносных исполняемых файлов и документов, подготовленных с помощью криптора и используемых в странах по всему миру. При этом количество пользователей (их имена можно найти по вредоносным ссылкам в открытых источниках) за эти годы особо не увеличилось. На 23 января 2025 года их было 24 с учетом владельцев.

Большое количество вредоносных файлов загружены на публичные ресурсы из США, Германии и Китая. Это обуславливается тем, что пользователи могут применять VPN во время отправки вредоносных файлов. Мы наблюдали атаки с использованием Crypters And Tools на США, страны Восточной Европы, в том числе на Россию, и Латинской Америки. Например, в 2023–2024 годах атаки группировки Blind Eagle, в которых использовались схожие вредоносы и техники обфускации, были направлены преимущественно на организации в США.

Стоит отметить, что распределение вредоносных файлов тесно коррелирует со статистикой атак, обнаруженных нами во время исследования деятельности группировки TA558. Действительно, такие страны, как Аргентина, Бразилия, Колумбия, Мексика, Румыния, Чили, являются одними из самых атакуемых.

Злоумышленники могут упростить процесс организации начального этапа атаки, купив по подписке криптор для обхода защитных решений. Исследование внутреннего устройства инструментов, подобных Crypters And Tools, а также их сетевой инфраструктуры может оказаться полезным для изучения атак и поиска взаимосвязей между APT-группировками.

Учитывая недавнюю аналитику наших коллег на тему рынка киберпреступности, можно сказать, что такие инструменты, как Crypters And Tools, и ВПО различных типов продолжат набирать популярность среди хакерского сообщества. Это приведет к росту количества вредоносных файлов и, следовательно, к увеличению числа успешных атак в регионах с низким уровнем ИБ. Стоимость вредоносного ПО на теневых форумах дает понять, что расходы на комплексную атаку во много раз меньше возможной прибыли от продажи конфиденциальной информации или шантажа.

Мы продолжим наблюдать за применением инструмента, а также будем обращать внимание на новые сервисы, предоставляющие подобные услуги. О том, какие группировки работали с Crypters And Tools и каковы их другие сходства, читайте во второй части нашего исследования.