Часть 2: Выход на продавца
Last updated
Last updated
celestialclient stealer
celestialclient worm
celestailclient rat
celestialclient ransomware
celestialclient rms
celestialclient remote administation tool
Именно последний запрос и привёл меня на сайт .
Функционал, описанный на сайте весьма интересен. Он мне знаком. Однако на данном этапе я всё ещё не уверен, что человек под псевдонимом Michigun является главным создателем и разработчиком Celestial RAT, и что он как-то связан с владельцем GitHub аккаунта, который мы исследовали ранее.
Я решил углубиться и поискать упоминания о сайте в интернете. Эта мысль привела меня к одному интересному видеоролику на YouTube, где человек с уже знакомым нам никнеймом Michigun обозревал билдер Celestial RAT — конвейер для создания вредоносного ПО.
Первое, что бросилось мне в глаза, была ссылка на Discord-сервер, который, вероятно, служил пристанищем для начинающих злоумышленников, решивших опробовать этот конструктор для RAT. Решив проверить, куда ведёт эта нить, я перешёл по ссылке и оказался на сервере, где меня сразу же встретило приветственное сообщение от CEO проекта — Michigun. Теперь я на 80% уверен, что именно он является главным разработчиком проекта. Но где же остальные 20%?
Проведя ещё немного времени на Discord-сервере, я наткнулся на изображение нового и свежего билдера Celestial RAT с крупной надписью: "Made with <3 by Michigun". Вот и наши недостающие 20%. Все кусочки мозаики сложились, и теперь мы полностью уверены в том, кто стоит за созданием Celestial RAT.
Было бы упущением не проверить данные по этой почте. Для этого я воспользовался OSINT-инструментом EPIEOS, который помог мне найти Skype-аккаунт, связанный с этой почтой, вместе с именем и фамилией подозреваемого.
Я не возлагал больших надежд на сервис Whois, но всё-таки решил им воспользоваться для получения регистрационных данных, если они доступны. И не зря... В данных скрывалась почта нашего подозреваемого: .
