Атака с един клик: Новият хакерски инструмент Villager съдържа Kali Linux и функция за самоунищожение
Straiker заяви, че нов инструмент, наименуван Villager е бил изтеглен съвсем 10 000 пъти от формалното вместилище PyPI от стартирането му през юли. Програмата се нарежда като клиент на протокола Model Context Protocol и съчетава десетки принадлежности за одит на мрежи, само че в това време съдържа всичко належащо за осъществяване на офанзиви в изцяло автоматизиран режим. Подобно на Cobalt Strike, Villager може да се употребява както за законни цели, по този начин и като офанзивна платформа за нападатели, които даже не се нуждаят от дълбока техническа подготовка.
Villager включва вградени контейнери с Kali Linux, стотици принадлежности за разбор и употреба и интеграция с AI моделите на DeepSeek.
Разработчиците са добавили към инструментариума обширна база данни от 4201 авансово готови поръчки за генериране на експлойти, което разрешава на системата независимо да приспособява офанзивите към съответни цели. Освен това системата разполага с усъвършенствани механизми за разкриване, автоматизирано основаване на изолирани контейнери за сканиране и тестване, както и с функционалност за самоизтребление на контейнера, която скрива следите след 24 часа.
Villager може да трансформира тактиката за офанзива в действително време: в случай че се открие WordPress, автоматизирано се започва WPScan, в случай че се открие последна точка на API, се задейства автоматизация на браузъра, с цел да се ревизира удостоверяването.
Ако се открие накърнимост на прототипа от страна на клиента, инструментът генерира потребен товар, следи мрежовия трафик и в случай че е сполучлив, прихваща системата. Докладът на Straiker дава образци за многостъпкови вериги – от първичното сканиране до използването на механизми за резистентност.
Изследването открива, че планът е обвързван с китайската организация Cyberspike, записана през ноември 2023 година на името на компанията Changchun Anshanyuan Technology Co. Въпреки формалния адрес и регистрацията, компанията няма пълностоен уеб страница или данни за чиновниците, а уебсайтът ѝ е затворен при започване на 2024 година. По-ранна продуктова линия на Cyberspike беше качена във VirusTotal, където специалистите разкриха съществуването на вграден AsyncRAT и приставки за известни принадлежности като Mimikatz.
Авторът на Villager, който се подвизава под псевдонима stupidfish001 преди този момент е взел участие в китайския CTF тим HSCSEC. Както означават откривателите, тези надпревари обичайно служат като канал за образование на експерти и привличането им към кибероперации. В кода на Villager са открити китайски мнения, а услугата продължава да употребява домейна на компанията, което демонстрира интензивно потребление на нейната инфраструктура.
Straiker записва постоянни изтегляния на пакета от юли насам, към 200 на всеки 3 дни. Общият брой на инсталациите е достигнал 9952 на разнообразни операционни системи, в това число Linux, macOS и Windows. В същото време продуктът остава наличен с отворен код и продължава да се популяризира посредством PyPI.
Според специалистите нападателите бързо овладяват потреблението на изкуствен интелект за автоматизиране на офанзивите, а скоростта на този развой изисква фирмите да подхващат съразмерен метод – да внедряват лични решения за отбрана, основани на изкуствен интелект със същото равнище на експедитивност.
