Selon SECTØR (Flare), l’acteur russophone « Snow », actif sur le forum XSS depuis août 2023, vend et opère des outils offensifs visant les entreprises, dont un pipeline distribué de découverte/attaque de VPN et un « Active Directory Dumper v2.0 ».

• Profil et activité: « Snow » a publié 526 messages sur XSS, démontre une forte expertise technique (malware, architecture système, pentest, sécurité d’entreprise) et une motivation principalement financière (vente d’outils, contenus techniques pour soigner sa réputation). Les outils et techniques visent des organisations mondiales, particulièrement aux États‑Unis, en Europe et autres économies « Tier‑1 ».

• Architecture distribuée (« distributed monolith ») 🧰: un orchestrateur central avec base PostgreSQL coordonne des services spécialisés: scan (Masscan) pour découvrir des endpoints VPN; service de détection/validation (fingerprinting HTTPS, mots‑clés de panneaux VPN, détection de honeypots, validation géolocale); moteur de brute‑force avec rotation de proxies; module de post‑exploitation/dumping; le tout supervisé via un panneau web, métriques, et mécanismes de reprise sur incident.

• Moteur de brute‑force 🎯: gestion de groupes d’identifiants (séparation usernames/passwords, paires par défaut, segmentation régionale, suivi de la couverture par cible), workers parallèles ajustant dynamiquement les threads, rotation et validation de proxies, cooldown par cible pour éviter le blocage, et mise en cache locale des dictionnaires pour réduire la charge. Les résultats nourrissent automatiquement les étapes suivantes.

• Post‑authentification et dumping 🔁: après obtention d’identifiants VPN valides, un service se connecte, collecte des informations de domaine, différencie comptes locaux vs domaine, dresse des rapports structurés et, si l’environnement est domaine, extrait des usernames (Kerberos) pour réinjecter de nouvelles tentatives ciblées. Ce « feedback loop » accroît la probabilité d’obtenir des identifiants de domaine.

• Couche opérateur: l’orchestrateur distribue les tâches, évite les doublons, surveille la santé des services (CPU, mémoire, taux de requêtes, tailles de files), et réattribue le travail en cas de panne/abuse. L’interface permet de suivre les campagnes et d’assigner des statuts (actif, vendu, en revue). L’ensemble constitue une chaîne d’outillage commercialisée pour l’accès initial et la monétisation. Type d’article: analyse détaillée d’une infrastructure criminelle outillée.

IOCs: Aucun indicateur technique (adresses IP, domaines, hashes) n’est fourni.

TTPs observés:

  • Découverte: scans Masscan continus pour services exposés (endpoints VPN)
  • Validation: fingerprinting HTTPS, détection de panneaux VPN par mots‑clés, filtrage de honeypots, validation géographique
  • Accès initial: brute‑force d’authentification VPN avec rotation de proxies, cooldown, gestion de dictionnaires segmentés par région/priorité
  • Post‑exploitation: dumping d’informations de domaine/Active Directory, extraction de usernames via Kerberos, réinjection dans la boucle d’attaque
  • Orchestration: base PostgreSQL centrale, file de tâches, reprise après incident, panel web et télémétrie

🧠 TTPs et IOCs détectés

TTP

Découverte: scans Masscan continus pour services exposés (endpoints VPN); Validation: fingerprinting HTTPS, détection de panneaux VPN par mots-clés, filtrage de honeypots, validation géographique; Accès initial: brute-force d’authentification VPN avec rotation de proxies, cooldown, gestion de dictionnaires segmentés par région/priorité; Post-exploitation: dumping d’informations de domaine/Active Directory, extraction de usernames via Kerberos, réinjection dans la boucle d’attaque; Orchestration: base PostgreSQL centrale, file de tâches, reprise après incident, panel web et télémétrie

IOC

Aucun indicateur technique (adresses IP, domaines, hashes) n’est fourni.

🔗 Source originale : https://www.linkedin.com/posts/activity-7436835666438819840-35XD?utm_source=share&utm_medium=member_desktop&rcm=ACoAAAsffmIBaKIs81zsMn9d3x90lptrQJiqxOU