俄罗斯黑客大量使用恶意流量方向系统传播恶意软件

基于订阅的crimeware-as-a-service（CaaS）解决方案与破解的Cobalt Strike副本之间的潜在联系已经建立，研究人员怀疑这是作为客户进行后期开发活动的工具提供的。

普罗米修斯，作为服务被称为，首次在2021年8月时，网络安全公司集团IB披露了恶意软件分发活动的细节，由网络犯罪集团分发Campo Loader，汉堡，IcedID，QBOT，Buer Loader，和SogGHOLISH在比利时和美国。

它每月售价250美元，在俄罗斯地下论坛上作为一个流量方向系统（TDS）进行销售，以实现大规模钓鱼重定向到恶意登录页面，这些页面旨在将恶意软件有效载荷部署到目标系统上。

黑莓研究和情报团队在与《黑客新闻》分享的一份报告中表示：“普罗米修斯可以被视为一个全面的服务/平台，使威胁组织能够轻松地传播其恶意软件或网络钓鱼操作。”。“普罗米修斯的主要组成部分包括恶意基础设施网络、恶意电子邮件分发、通过合法服务托管非法文件、流量重定向和传送恶意文件的能力。”

通常，重定向来自两个主要来源之一，即借助合法网站上的恶意广告（又称malvertising），或通过被篡改以插入恶意代码的网站。

在普罗米修斯的案例中，攻击链从一封包含HTML文件或谷歌文档页面的垃圾邮件开始，在交互时，将受害者重定向到一个被破坏的网站，该网站托管一个PHP后门，该后门对机器进行指纹识别，以确定“是向受害者提供恶意软件，还是将其重定向到另一个可能包含钓鱼欺诈的页面”

与该服务运营商有关的最早活动据说始于2018年10月，该服务运营商在黑客论坛上的名字是“Ma1n”，作者与其他非法工具有关，这些工具提供高质量的重定向和PowerMTA工具包，用于邮寄到公司邮箱，然后于2020年9月22日推出普罗米修斯TDS进行销售。

还不止这些。黑莓还发现与普罗米修斯有关的活动与钴打击对手模拟和威胁模拟软件的非法版本存在重叠，这增加了复制品“由普罗米修斯运营商自己扩散”的可能性

研究人员说：“有可能是与普罗米修斯TDS有关的人在维护这个破解的副本，并在购买时提供。”。“这个破解的安装也可能作为标准playbook或虚拟机（VM）安装的一部分提供。”

事实证明了这一点，许多威胁参与者，包括DarkCrystal RAT、FickerStealer、FIN7、Qakbot和IceID，以及勒索软件卡特尔，如REvil、Ryuk（巫师蜘蛛）、Blackmate和Cerber，在过去两年中使用了有问题的破解副本。

除此之外，还观察到了与Zebra2104跟踪的初始访问代理相关的活动，该代理的服务已被Strong怜悯、MountLocker和Phobos等团体用于自己的活动。

研究人员指出：“虽然TDS并不是一个新概念，但它的复杂性、支持度和低财务成本让人们相信，在不久的将来，这种趋势很可能会上升。”。

“使用普罗米修斯TDS等产品的团体数量表明了这些非法基础设施出租服务的成功和有效性，这些服务本质上是成熟的企业，支持团体的恶意活动，无论其规模、资源水平或动机如何。”