更新(11/19/15):托管提供商advedhosters回应了我们的投诉。他们在美国和世界各地都有服务器,但总部设在荷兰。

“根据我们的调查,该客户没有参与黑客/运行恶意脚本/分发恶意软件的活动。如果您需要进一步的信息,或有任何问题,请与我们联系。Regards,”advanced hoster客户支持

无可奉告,证据不言自明。

这件案子至少可以说是很奇怪的,很可能背后有不可告人的动机,我们仍在调查中。

- - - - - - - - - - - -

现在是2015年,一个威胁行动者正在使用已经失效的黑洞开发工具包,通过受攻击的网站进行主动驱动下载活动。

我们注意到我们蜜罐收集的Java和PDF漏洞,我们在年龄段没有看到。仔细观察这种攻击的结构,当我们意识到这是臭名昭着的黑洞时,我们感到惊讶。

黑洞的作者,Paunch,是2013年10月被捕虽然犯罪分子在未来几个月内使用该套件,但由于缺乏发展,利用慢慢弃用并失去价值。

我们在周末捕捉到的新的驱动下载攻击依赖于与原始黑洞相同的结构,甚至重用了旧的PDF和Java漏洞。唯一的区别是恶意软件负载被丢弃,这是当前的,在VirusTotal上检测非常低。

Fiddler__

用于托管利用基础架构的服务器恰好是完全浏览的(谢谢@MeJz024的提示)。文件夹结构毫无疑问地表明,这是直接从黑洞源代码泄露。

BH_flow__

虽然漏洞已经陈旧,但可能还有可能受到损害的弱势电脑。我们还注意到这款黑洞版后面的作者正在研究新的着陆页面,因此未来可能会有额外的变化。

MBAE__

必威平台APP伪Anti-Exploit保护用户免受这种攻击,尽管exploit是非常过时的。

我们不太确定为什么这个旧的漏洞工具包被使用在实时攻击中,考虑到由于老化的漏洞感染率会相当低。

一个假设可能是源代码是公共的,它是一个可以建立和更新的免费平台。

妥协的指标

服务器IP: 88.208.0.217

  • updatewindowsplayer.ga
  • updatewindowsplayer.gq
  • 1 qw2.wha.la
  • qwe2345.wha.la
  • alexaspoteee.wha.la
  • alexaspoteee.epac.to.
  • s-mx.com
  • www.s-mx.com

恶意软件散列

  • e2866f9d234f67e2e8349416d923cc5e
  • b556f7449178a06257ad6c97b8f52cb1
  • 1AFB93D482FD46B44A64C9E987C02A27
  • fdf894411559d1c30c39ee92faed6efe.