Пробная версия со взломом: Acunetix атаковал тысячи сайтов

Специалисты компании Silent Push обнаружили, что хакеры продают сотни тысяч украденных данных с использованием взломанной версии популярного сканера уязвимостей для веб-приложений Acunetix. Этот инструмент превратили в облачный сервис для проведения атак. Один из таких сервисов связан с IT-компанией из Турции.

Эксперты выявили активные сканирования сайтов, использующие IP-адрес, ранее связанный с хакерской группой FIN7. После анализа стало ясно, что данные запросы исходят из панели управления «Araneida Customer Panel», которая работает на основе взломанной версии Acunetix и предоставляет функции для поиска уязвимостей на сайтах, сбора пользовательских данных и их дальнейшего использования в атаках. Чтобы скрыть источник запросов, Araneida использует мощную прокси-сеть, которая маскирует реальные IP-адреса, отправляя запросы через случайные узлы.

Разработчики Acunetix, компания Invicti Security, подтвердили, что злоумышленники смогли обойти лицензионные ограничения пробной версии программы, сделав её полноценным инструментом для атак.

Сервис Araneida активно продвигается на киберпреступных форумах и в Telegram, где канал сервиса насчитывает около 500 подписчиков. В сообщениях подробно рассказывается, как использовать инструмент для атак. На этом же канале продаются украденные учетные данные пользователей. Согласно заявлениям представителей Araneida, их продукт позволил взломать более 30 000 сайтов всего за шесть месяцев. Также упоминается, что один из клиентов купил автомобиль Porsche на деньги, вырученные от продажи украденных данных платежных карт.

Эксперты обнаружили не менее 20 аналогичных сервисов, основанных на взломанной версии Acunetix, которые ориентированы на пользователей из Китая. Однако доказательств их продвижения на даркнет-форумах пока не найдено.

Сообщения о применении взломанной версии Acunetix начали появляться ещё в июне 2023 года. В одном из отчётов Министерства здравоохранения США говорится, что этот инструмент использовала китайская хакерская группировка APT 41. Домен araneida[.]co, через который распространяется сервис, был зарегистрирован в начале 2023 года. Однако имя Araneida упоминается на киберпреступных форумах с 2018 года.

Исследователи выяснили, что сервис связан с разработчиком Алтугом Шара, который работает в IT-компании Bilitro Yazilim, базирующейся в Турции. Сам Шара и его работодатель отказались от комментариев. Хотя компания Invicti имеет офис в Анкаре, её представители заявили, что не знакомы с этим человеком и не имеют связей с его деятельностью.

Сервис Araneida активно использует прокси-сети для сокрытия местоположения своих клиентов. Однако инструмент легко заметить из-за большого количества запросов к API и случайным URL. Кроме того, взломанная версия Acunetix содержит устаревшие SSL-сертификаты, что позволяет отслеживать инфраструктуру.

Команда Silent Push продолжает мониторить активность хакеров, использующих Araneida и взломанные версии Acunetix. Для корпоративных клиентов уже подготовлен отчёт с рекомендациями, которые помогут выявить и предотвратить подобные угрозы.