Microsoft и партнёры уничтожили общую инфраструктуру вредоносного ПО Amadey и StealC

Microsoft, правоохранительные органы и несколько компаний по кибербезопасности провели совместную операцию по ликвидации инфраструктуры, использовавшейся двумя широко распространёнными семействами вредоносного ПО — Amadey и StealC.

Что было сделано?

Операция, проведённая в рамках долгосрочной кампании Operation Endgame, включала использование искусственного интеллекта, юридические меры и эксплуатацию уязвимости в панели управления вредоносным ПО. В результате было нацелено на ликвидацию несколько сотен доменов и серверов.

Эта операция выделяется на фоне предыдущих действий в рамках Operation Endgame: правоохранители и компании атаковали то, что они назвали «сборочной линией киберпреступности» — то есть не отдельные угрозы, а всю инфраструктуру целиком.

Что такое Amadey и StealC?

• Amadey — загрузчик по модели malware-as-a-service, существующий с 2018 года. Предоставляет злоумышленникам доступ к системам для доставки вторичных нагрузок.
• StealC — инфостилер, активный с 2023 года. Помогает похищать учётные данные, криптокошельки, файлы cookie и другую ценную информацию.

Эти два инструмента часто использовались вместе: Amadey обеспечивал первоначальный доступ, а StealC похищал данные из скомпрометированных систем.

Как удалось их обезвредить?

Анализ с использованием искусственного интеллекта показал, что оба семейства вредоносного ПО использовали общую инфраструктуру командных серверов (C&C), что значительно упростило задачу ликвидации для Microsoft и партнёров.

Эта операция отметила сдвиг в стратегии: вместо концентрации исключительно на отдельных угрозах, Европол, правоохранительные и судебные органы, а также партнёры из частного сектора нарушили всю цепочку, позволяющую кибератакам масштабироваться.

— Европол

Результаты операции

• Изъято более 25 миллионов уникальных учётных данных, похищенных с более чем 385 000 систем
• Выявлено и обезопасено 18 000 скомпрометированных компьютеров
• Идентифицированы и заблокированы криптоактивы на сумму более 47 миллионов долларов

Дополнительная уязвимость

В ходе расследования исследователи обнаружили уязвимость в панели управления StealC C&C, позволяющую загрузить веб-шелл на сервер. Эта уязвимость была использована для сбора данных в поддержку операции по ликвидации, однако есть свидетельства, что один из партнёров StealC также использовал её для кражи данных у других партнёров группировки.

Участники операции

Подробности об операции против Amadey и StealC опубликовали:

• Microsoft
• Европол
• ESET
• Bitsight
• IBM X-Force
• Proofpoint
• японская компания Mitsui Bussan Secure Directions (MBSD)

Объявление об операции последовало незадолго после совместной ликвидации правоохранительными органами и компаниями по кибербезопасности ботнета SocGholish.