Дорого, мощно, глупо. Хакеры продали «элитный» софт на тысячи долларов, но забыли зашифровать C2-трафик

leer en español

Weyhro Weyhro C2 Lumma Labs вымогательское ПО ботнет обход защит киберпреступность
Дорого, мощно, глупо. Хакеры продали «элитный» софт на тысячи долларов, но забыли зашифровать C2-трафик
Weyhro Weyhro C2 Lumma Labs вымогательское ПО ботнет обход защит киберпреступность

Платформа Weyhro C2 внедряет код в легитимные процессы системы для развёртывания невидимой рабочей среды.

image

В киберпреступной среде зафиксировано появление нового инструмента управления заражёнными системами под названием Weyhro C2. Его продвижение совпало с активностью одноимённой вымогательской группы и указывает на попытку диверсифицировать источники дохода за счёт продажи готовых наступательных решений.

В начале декабря пользователь с ником Weyhro разместил на одном из форумов объявление о продаже Weyhro C2, представив продукт как продвинутый набор для скрытых операций с полноценной серверной инфраструктурой управления. Инструмент позиционируется как средство обхода антивирусов и систем обнаружения атак в корпоративных сетях и охватывает все этапы компрометации — от первичного доступа до закрепления и дальнейшего развития атаки.

Архитектура Weyhro C2 построена по модульному принципу. В состав входят удалённая командная оболочка, прокси SOCKS5 для туннелирования трафика, механизм скрытого удалённого рабочего стола HVNC с возможностью перехвата сессий браузера, а также модуль для работы с билетами Kerberos. Дополнительно заявлены функции управления файлами и развитые методы уклонения от обнаружения, включая полиморфизм, шифрование данных и отключение встроенных защитных механизмов Windows.

Специалисты отмечают, что вредоносный агент работает исключительно в памяти и загружается с помощью отдельного загрузчика. Распространение осуществляется по подписке стоимостью около 3000 долларов в месяц, оплата принимается в криптовалюте. При этом продавец отдельно указывает запрет на использование инструмента в странах СНГ.

Анализ показал, что Weyhro C2 тесно связан с вымогательской группировкой Weyhro, которая заявила о себе весной 2025 года. Совпадение временных рамок и инфраструктуры позволяет предположить, что речь идёт об одном и том же операторе, который решил выйти за рамки шифрования данных и начать продажу собственных разработок другим участникам подполья.

Техническое устройство Weyhro C2 включает сложную систему сокрытия строк и функций с использованием алгоритма ChaCha20, собственную реализацию AES для расшифровки дополнительных компонентов и механизмы загрузки исполняемого кода без записи на диск. Для противодействия средствам защиты применяется восстановление оригинальных библиотек Windows из файловой системы, а также отключение журналирования ETW и интерфейса AMSI путём изменения кода в памяти.

Закрепление в системе достигается через копирование исполняемого файла в каталог AppData и добавление записи в раздел автозапуска реестра. Для дальнейшего развития атаки предусмотрены инъекции кода в легитимные процессы Windows и развёртывание скрытой рабочей среды, невидимой для пользователя.

Однако специалисты обращают внимание на уязвимое место инструмента — сетевое взаимодействие с управляющим сервером осуществляется в открытом виде без шифрования, что упрощает обнаружение активности при анализе трафика. Тем не менее появление Weyhro C2 подтверждает тенденцию, при которой операторы вымогательских программ всё чаще переходят к продаже универсальных платформ для атак.