Необычный инцидент зафиксировали специалисты Huntress: хакер установил пробную версию их защиты и тем самым открыл доступ к собственной киберкухне.
Агент мониторинга сразу начал собирать данные о его действиях, и эксперты смогли увидеть, как современный злоумышленник сочетает искусственный интеллект, автоматизацию и OSINT-инструменты для массовых атак.
По данным отчёта, идентифицировать фигуранта помогло имя хоста, совпавшее с упоминаниями в прошлых расследованиях, и история браузера. Наблюдение длилось три месяца и показало: хакер активно использует Make.com для автоматизации процессов, Telegram Bot API для управления ботнетами, Google Translate для адаптации писем на разные языки и Censys для поиска уязвимых серверов.
В арсенале также были сервисы скрытия трафика вроде LunaProxy, инструменты для атак на Azure AD, AI-генераторы текстов для рассылок и целые базы с украденными данными. В качестве целей выбирались финансовые компании, софтверные вендоры и агентства недвижимости. Зафиксированы и визиты на даркнет-площадку STYX Market.
Инфраструктура преступника размещалась у канадского провайдера VIRTUO: только за две недели с неё исходило почти 2,5 тысячи попыток входа в чужие аккаунты.
Часть атак сопровождалась подменой токенов доступа и созданием вредоносных правил в почтовых клиентах. Как отмечают в Huntress, значительная доля активности была заблокирована автоматическими средствами защиты, но главное — специалисты получили редкую возможность заглянуть в повседневную жизнь киберпреступника.
Агент мониторинга сразу начал собирать данные о его действиях, и эксперты смогли увидеть, как современный злоумышленник сочетает искусственный интеллект, автоматизацию и OSINT-инструменты для массовых атак.
По данным отчёта, идентифицировать фигуранта помогло имя хоста, совпавшее с упоминаниями в прошлых расследованиях, и история браузера. Наблюдение длилось три месяца и показало: хакер активно использует Make.com для автоматизации процессов, Telegram Bot API для управления ботнетами, Google Translate для адаптации писем на разные языки и Censys для поиска уязвимых серверов.
В арсенале также были сервисы скрытия трафика вроде LunaProxy, инструменты для атак на Azure AD, AI-генераторы текстов для рассылок и целые базы с украденными данными. В качестве целей выбирались финансовые компании, софтверные вендоры и агентства недвижимости. Зафиксированы и визиты на даркнет-площадку STYX Market.
Инфраструктура преступника размещалась у канадского провайдера VIRTUO: только за две недели с неё исходило почти 2,5 тысячи попыток входа в чужие аккаунты.
Часть атак сопровождалась подменой токенов доступа и созданием вредоносных правил в почтовых клиентах. Как отмечают в Huntress, значительная доля активности была заблокирована автоматическими средствами защиты, но главное — специалисты получили редкую возможность заглянуть в повседневную жизнь киберпреступника.
