Het is een geheim aan niemand (in de infosec wereld) dat de exploit kit markt werd herschikt om de huidige behoeften van malware distributeurs te ontmoeten.
Slechts enkele weken geleden, Opvallend is malvertising incident op de populaire website answers.com die ongeveer heeft 2 miljoen bezoeken per dag. Het scenario was zeer vergelijkbaar met zowel Angler en Neutrino, maar het was in feite RIG het werk doen. Het was vroeger het domein shadowing techniek en de HTTPS geopend redirector van Rocket Fuel.
De onderzoeker achter Malware Do not Need Coffee (MDNC) waargenomen een half augustus overgang van veel kwaadaardige activiteiten in de richting van de RIG exploit kit. De campagnes werden de distributie van meer geo-gerichte banking Trojans en minder CryptXXX ransomware. Tijdens zijn onderzoek, MDNC kwam ook over een (mogelijk) nieuwe exploit kit.
MDNC was "proberen om die beweging te begrijpen", langs de aanwezigheid vermoeden van een interne TDS (Traffic Distribution System) binnen RIG Exploit Kit, een vermoeden dat later werd bevestigd.
Deze specifieke functie wordt aangenomen in eerste instantie te zijn verschenen in de EK markt met Blackhole, en verdween met Nuclear en Angler.
Wat is de TDS beschikken allemaal over?
De TDS-functie maakt het mogelijk de exploit kit operator om meerdere ladingen koppelen aan een unieke thread. Het is inderdaad een belangrijk kenmerk van een payload verkoper. Bovendien, de lading is ingericht voor het GEO en OS-instellingen van het doelwit. Echter, is de voorwaarde dat "je hebt er een te maken Exploit Kit thread per payload, een externe TDS (zoals Keitaro / Sutra / BlackHat TDS / SimpleTDS / BossTDS, enz…) en vanaf dat TDS, wijzen het verkeer naar de juiste Exploit Kit thread (of, als je koopt het verkeer, Vertel uw verkeer provider waar het verkeer te sturen voor elk doelland)".
tenslotte, many-malware dropping operaties overgestapt naar RIG. Tegen het einde van september, 2016, de Neutrino advertenties en banners verdwenen uit ondergrondse fora.
Is er een nieuwe exploit kit worden gevormd op dit moment?
Rekening houdend met alle veranderingen in de EK markt, misschien is het geen toeval dat een nieuwe exploit kit momenteel wordt besproken in de ondergrondse fora - Empire Pack. Deze discussies zijn beursgenoteerd en het EK is niet openbaar (nog?).
de interface, zoals opgemerkt door MDNC, is zeer vertrouwd en zinspeelt op RIG. De onderzoeker speculeert dat het Empire Pack lancering kunnen worden gerelateerd aan de eerste golf van RIG-aangedreven aanvallen. Misschien is de Empire Pack is een RIG instantie beheerd door een reseller / payload verkoper?
Voor de volledige technische openbaarmaking, springen naar de oorspronkelijke onderzoek.