2022年5月,我们报道了焦糖脱脂牛奶服务以及在线刷信用卡者的激增是如何支持欺诈的。证据表明,Caramel撇脂器背后的CaramelCorp集团并不将其网络犯罪活动局限于撇脂。相反,这个集团似乎经常使用不同的别名来寻找新的盈利业务,这些别名有记录的历史跨越了几年。这种行为并不罕见;相反,这似乎是一种趋势,网络犯罪分子更快地适应市场力量,并扩大提供新的服务。
有几个因素促成了这一趋势,但有三个因素与本次调查特别相关。首先,网络犯罪威胁行为者可以(暂时)通过表现出小规模行动来逃避执法部门的审查——考虑到网络犯罪的显著增加和遏制此类行为的可用资源有限,这是一个根本不值得努力解决的目标。一个令人信服地“看起来很小”的网络犯罪团伙可以获得丰厚的红利。其次,精明的网络犯罪威胁行为者密切监视地下经济,并根据市场力量评估新的机会。第三,地下经济中越来越多的专业化和对第三方服务的依赖使得向新型网络犯罪的扩张更加经济,而且学习曲线最小。这一趋势可能对企业和消费者造成的潜在伤害不应被忽视,对手的创造力或他们为了寻求利润而转向的意愿也不应被忽视。
尽管这种趋势有其好处,但对网络罪犯来说也并非没有额外的风险。为了换取额外的能力和收入,网络犯罪行为者通常会增加曝光率。理解这种关系的一种有用的方法是通过网络防御的镜头,并从攻击表面考虑暴露:复杂性的增加和对第三方服务的依赖会产生风险。如果实现了,这种风险就可以被利用。CaramelCorp就是这样的例子,这些据点有助于将一系列活动纳入关注范围,而不仅仅是出售在线信用卡浏览的权限。相反,一个更有野心的组织开始出现,他们突袭偷窃恶意软件、可疑的电子游戏“黑客”和加密货币骗局。
域名注册者“厄齐尔·维尔菲格”和一个坏的痕迹
whois数据看似简单,背后隐藏着巨大的复杂性。如果使用得当,注册数据之间的关系和域之间的关系可以提供有用的见解。共性——无论是基础设施还是工件——并不一定意味着关联或共享努力。不是条条大路通罗马,也不是所有的调查线索都指向同一个嫌疑犯或结论。威胁情报的艺术在于看的能力Multum in parvo(“少中有多”)而不忽视大局。这样做是为了适应模糊性,而网络犯罪调查往往充满了模糊性。CaramelCorp轨道上的域名以及它们如何与域名注册人“Ozil Verfig”重叠,就是这种“大局”方法的典型。
在这种情况下,有好几条路通向焦糖公司。谁是焦糖糖的记录。cc提供了几个有用的初始立足点,其中最有用的是:
注册人名称:Ozil Verfig
注册机构:Ozil Verfig
登记街道:Krasnaya Ploshad
登记城市:莫斯科
注册人邮政编码:101000
注册国家:RU
注册电话:+495.1234321
注册人传真:+495.1234321注册人邮箱:(电子邮件保护)com(。)
值得注意的是焦糖[。cc域名的整个历史似乎都是由一个注册者控制的。注册机构名称“Ozil Verfig”和电子邮件地址“(电子邮件保护)com(。)” seem distinctive. Further, the OSINT footprint associated with this registrant is narrow but deep.
焦糖[。]CaramelCorp早期的域名之一,也将“Ozil Verfig”列为域名注册机构。厄齐尔·维尔菲这个名字很不寻常。因此,使用该名称的注册人和注册人组织的域名占用面积相对较小,这表明有相关性。此外,许多这些域似乎分为三类:(1)模拟金融机构,(2)加密货币骗局,和(3)恶意软件域,无论是传播还是管理(可能与一个引人注目的红线窃取运动).考虑到网络犯罪的联系、独特的名称、目标行为和频繁使用的域名注册商,这些域名注册背后很可能有一个威胁行为者或组织。另一个要考虑的因素是是否存在类似的域名命名约定。
注册“Ozil Verfig”域名遵循几个一致的命名约定,用于几个可能的域名用途组。这些领域包括:
域名注册日期虚线域名:accounts-cooperative[.]com厄齐尔Verfig NiceNIC 2021年11月账户服务[.]com厄齐尔Verfig NiceNIC 2021年11月cdn-googlestatic[.]com厄齐尔Verfig NiceNIC 2022年2月doc -file[.]com厄齐尔Verfig NiceNIC 2022年3月下载驱动[.]com厄齐尔Verfig NiceNIC 2022年3月下载-safe[.]com厄齐尔Verfig NiceNIC 2022年3月drive-file[.]com厄齐尔Verfig Cloudflare 2022年3月file-office[.]com厄齐尔Verfig NiceNIC 2022年3月redhat-dev[.]com厄齐尔Verfig NiceNIC 2022年6月spotify-account[.]xyz厄齐尔Verfig DNSPod 2022年4月static-microsoft[.]com厄齐尔Verfig NiceNIC 2022年6月storage-drive[.]com厄齐尔Verfig nicen 2022年3月游戏“黑客”和骗局:fortnightcheat[.]com厄齐尔Verfig NiceNIC 2022年3月robloxforu[.]com厄齐尔Verfig NiceNIC 2022年3月skinchangenow[.]com厄齐尔Verfig NiceNIC 2022年3月valorannow[.]com Ozil Verfig NiceNIC 2022年3月,Typosquatting和looklikedomains: blockchaln[。在线厄齐尔Verfig DNSPod 2020年5月certcodeplus[.]top厄齐尔Verfig NiceNIC 2020年11月认证码[.]xyz厄齐尔Verfig niconic 2020年10月certicodeplus[。俱乐部厄齐尔Verfig DNSPod 2020年10月certicodeplus[。]group Ozil Verfig 139.com Oct. 2020 certicodeplus[.]online Ozil Verfig DNSPod Oct. 2020 certicodeplus[.]top Ozil Verfig NiceNIC Sept. 2020 certicodplus[.]site Ozil Verfig NiceNIC Oct. 2020 certlcodeplus[.]top Ozil Verfig NiceNIC Oct. 2020 firstechfed[.]site Ozil Verfig NiceNIC Oct. 2020 flrstechfed[.]com Ozil Verfig NiceNIC Oct. 2020 flrstechfed[.]group Ozil Verfig 139.com Oct. 2020 flrsttechfed[.]group Ozil Verfig 139.com Oct. 2020 lloyids[.]com Ozil Verfig NiceNIC Oct. 2020 Panels: caramelcorp[.]cc Ozil Verfig NiceNIC Dec. 2020 caramelcorp[.]xyz Ozil Verfig NiceNIC Dec. 2020 bezpecnost[.]tech Ozil Verfig NiceNIC April 2022 bezpieczenstwo[.]app Ozil Verfig NiceNIC Dec. 2021 bezpieczenstwo[.]tech Ozil Verfig DNSPod April 2022 gotxest[.]top Ozil Verfig NiceNIC Oct. 2020 panel-smm[.]top Ozil Verfig NiceNIC Jan. 2022 Likely malware: ahf4ycvea439tt9rq[.]site Ozil Verfig NiceNIC March 2022 awqwywewfs56843[.]top Ozil Verfig DNSPod Jan. 2021 batroslunk[.]top Ozil Verfig DNSPod Dec. 2020 blctrsb[.]site Ozil Verfig NiceNIC July 2020 fitollday[.]site Ozil Verfig NiceNIC April 2020 gaweawgeaweg232[.]top Ozil Verfig NiceNIC Jan. 2021 ghslitvompj[.]top Ozil Verfig NiceNIC Nov. 2020 regisbrow[.]site Ozil Verfig NiceNIC July 2020 windows-upgraded[.]com Ozil Verfig NiceNIC Jan. 2022 wornegmot[.]top Ozil Verfig NiceNIC Oct. 2020*就本表而言,域名注册人和域名注册人组织是合并的。
跨多个域注册的一致域命名约定和特定时间段的集群有助于定义CaramelCorp和包含“Ozil Verfig”的whois记录之间的联系。但是这些域中有多少是信号而不是噪声,这个信号与焦糖公司有关吗?答案很简单。一个人可以开始在人群中识别一个人——即使每个人看起来都一样——根据他们的活动外在人群中。
carmelcorp推动者“letsz0ck3r”出席论坛
在我们之前的报道中首次提到,演员“letsz0ck3r”(也被称为“Zocker”,可能是“or1kstar”)有在俄语网络犯罪论坛上提供和推广服务的历史(图1-2)。其中可能包括:
·销售通过Telegram发送窃取数据的“Star Stealer”恶意软件(图3-4)
·可能使用流行的现成恶意软件(Anubis, Redline, Arkei)
·利用美国金融机构提供套现和洗钱服务(图5)
·销售恶意软件加密和数字签名服务
·推广销售隐藏的虚拟网络计算(hVNC)模块
·电子游戏mod和作弊系统(图6)
考虑到焦糖撇脂机的背景,这样的产品和服务是有意义的。在这个列表中,大多数服务已经不再提供。这可能是对市场力量、改进的技术能力和/或更有利可图的网络犯罪利基的反应。
除了一个俄语黑客论坛,“letsz0ck3r”似乎对电子游戏mod和作弊系统很感兴趣。不出所料,这名演员在凤凰电子游戏黑客论坛(图6)上保持活跃。他们似乎也是一个用户,这可能表明他们对游戏的兴趣超出了剥削。这项活动证明在调查中特别有帮助。
电子游戏插件和作弊系统只占地下经济的一小部分,但它们的背景值得特别关注。电子游戏插件是恶意软件传播的常见载体。有时,威胁行为者会将游戏作弊系统与恶意软件结合起来;还有一些是基本的,只是安装恶意软件。在线竞争游戏中不公平的优势前景使得潜在目标更有可能安装它们并忽略防病毒警报(参见图7中的例子)。因为这种欺骗系统通常使用代码注入来操作,所以要求完全禁用Windows Defender并使用管理员级特权运行该程序对潜在目标来说似乎是可信的。恶意的电子游戏插件通常会安装偷窃恶意软件。值得注意的是,DomainTools Research监测了几个使用这种精确传播向量的红线活动。
与CaramelCorp相关的几个域名可能提供恶意的视频游戏mod和欺骗系统。这些域名使用域名注册组织“Ozil Verfig”。一些例子包括域valorannow[。com and fortnightcheat[.]com(如图8-9所示)。两者似乎都是其他非常可疑的电子游戏mod服务的轻微修改克隆。
![图8:caramelcorp相关的valorannow[.]com的截图。很可能与恶意软件活动有关,这个游戏欺骗引擎的目标是Valorant玩家。](http://www.xylmmw.com/wp-content/uploads/caramel-corp-part-2-image-8.png)
![图9:caramelcorp相关的fortnightcheat[.]com的截图。很可能与恶意软件活动有关,这个游戏欺骗引擎的目标是《堡垒之夜》玩家。](http://www.xylmmw.com/wp-content/uploads/caramel-corp-part-2-image-9.png)
但是人们还能从域名中学到什么呢?为什么这很重要呢?有时威胁行为者无意中暴露了额外的网络犯罪活动。在这里,OPSEC的一个小错误表明“letsz0ck3r”也对加密货币骗局有浓厚兴趣。他们的错误是:用一个域名进行两种截然不同的骗局。
Cryptocurrency诈骗
加密货币骗局数不胜数,CaramelCorp采用加密货币应该不会让人感到意外。加密货币骗局的目的主要是盗窃加密货币(或者,在某些情况下,试图安装恶意软件)。更高级的加密货币诈骗被称为“引流者”,他们不仅会窃取证书和钱包恢复短语,还会清空加密货币钱包,并在受害者意识到自己的错误之前很久将资金转移到攻击者控制的钱包。这些被盗资金在转移时几乎肯定是无法追回的,特别是在使用注重隐私的加密货币进行洗钱时,调查人员非常难以追踪。
一个更简单的加密货币骗局使用“空投”、“抛钱”和“加密货币赠品”作为诱骗受害者的诱饵。这些骗局都依赖于将加密货币发送到某个地方就能获得巨额短期投资回报的诡计。受害者丢失了他们发送的所有加密货币,然后被骗子洗白。和榨干者一样,使用这种骗局窃取的资金几乎肯定是无法追回的。经济学家早就说过,天下没有免费的午餐。
为什么这些骗局变得如此普遍?答案很简单:他们成功了,受害者的损失高达数十亿美元。加密货币骗局日益流行的另一个关键驱动因素是去中心化金融(“DeFi”),以及在DeFi空间运营的大量加密货币项目和服务。即使是有经验的加密货币交易者,也很难将合法的DeFi服务与恶意服务区分开来。
更清晰的焦糖公司,模糊的界限
重要的是,网络犯罪活动的重叠可以发生在同一领域,这有助于进一步定义与行为者群体相关的活动联系。在这里,与CaramelCorp相关的域名都有可能在相对较短的时间内恶意电子游戏欺诈和加密货币欺诈的历史截图(图10-11)。域skinchangenow[.]com也绝不是例外。
![图10:skinchangenow[.]com网站上疑似恶意的“Skinchanger”视频游戏mod。](http://www.xylmmw.com/wp-content/uploads/caramel-corp-part-2-image-10.png)
![图11:在skinchangenow[.]com上针对Cardano持有者的加密货币诈骗。](http://www.xylmmw.com/wp-content/uploads/caramel-corp-part-2-image-11.png)
caramelcorp相关域valorannow[。几个星期后,这个加密货币骗局被一个非常可疑的“ValorantCheats”网站的登陆页面所取代(图12)。
![图12:DomainTools虹膜调查截屏历史功能揭示了域valorannow[.]com最初是一个加密货币赠品骗局。](http://www.xylmmw.com/wp-content/uploads/caramel-corp-part-2-image-12.png)
有趣的是,另一个caramelcorp相关域的历史截图显示了一个数据表,可由未经身份验证的用户查看。有问题的域是gotxest[.]top。这个数据表的列表明,它的目的是收集撇去的支付数据(图13):
ID URI BIN Number过期CVV计费ZIP持卡人电话UAgent
鉴于CaramelCorp对在线信用卡欺诈的兴趣,gotxest的历史截图[。top’有助于进一步巩固“Ozil Verfig”领域和CaramelCorp作为一个整体的活动之间的联系。
综上所述,焦糖公司的详细形象就清晰可见了。carmelcorp不是一个以脱脂牛奶为服务的供应商,而是一个专注于利润最大化的集团,它基于市场信号,更重要的是,它愿意从多年的经验中学习。carmelcorp在这方面的行为似乎是一种趋势的一部分,但对辩护者来说,也不是全输了。与高质量数据集相结合的分析师思维模式允许防御者在威胁参与者根据地下经济中的市场变化调整(或扩展)活动时,迅速定义、检测和防御威胁。快乐的狩猎。
