search

Часть 2: Выход на продавца

circle-info

Помните название продукта CelestialClient? Конечно помните. Ещё до анализа строк я решил найти любую информацию об этом продукте, перебирая различные поисковые запросы.

  • celestialclient stealer

  • celestialclient worm

  • celestailclient rat

  • celestialclient ransomware

  • celestialclient rms

  • celestialclient remote administation tool

Именно последний запрос и привёл меня на сайт celestialsoft.suarrow-up-right.

Функционал, описанный на сайте весьма интересен. Он мне знаком. Однако на данном этапе я всё ещё не уверен, что человек под псевдонимом Michigun является главным создателем и разработчиком Celestial RAT, и что он как-то связан с владельцем GitHub аккаунта, который мы исследовали ранее.

Я решил углубиться и поискать упоминания о сайте в интернете. Эта мысль привела меня к одному интересному видеоролику на YouTube, где человек с уже знакомым нам никнеймом Michigun обозревал билдер Celestial RAT — конвейер для создания вредоносного ПО.

Первое, что бросилось мне в глаза, была ссылка на Discord-сервер, который, вероятно, служил пристанищем для начинающих злоумышленников, решивших опробовать этот конструктор для RAT. Решив проверить, куда ведёт эта нить, я перешёл по ссылке и оказался на сервере, где меня сразу же встретило приветственное сообщение от CEO проекта — Michigun. Теперь я на 80% уверен, что именно он является главным разработчиком проекта. Но где же остальные 20%?

Проведя ещё немного времени на Discord-сервере, я наткнулся на изображение нового и свежего билдера Celestial RAT с крупной надписью: "Made with <3 by Michigun". Вот и наши недостающие 20%. Все кусочки мозаики сложились, и теперь мы полностью уверены в том, кто стоит за созданием Celestial RAT.

Я не возлагал больших надежд на сервис Whois, но всё-таки решил им воспользоваться для получения регистрационных данных, если они доступны. И не зря... В данных скрывалась почта нашего подозреваемого: zubenkomafioz@gmail.comenvelope.

Было бы упущением не проверить данные по этой почте. Для этого я воспользовался OSINT-инструментом EPIEOS, который помог мне найти Skype-аккаунт, связанный с этой почтой, вместе с именем и фамилией подозреваемого.

PreviousЧасть 1: По следам создателяNextЧасть 3: Причем тут читеры?

Last updated