[Работа по РУ, слив на ВТ] CODE XREF он же Rosseane(тг) мудак, просим всех ознакомиться

[AuraCorp]

Для всех желающих внизу прикреплен полный дамп переписки с пользователем в ТГ.

Дали человеку потестить софт за отзыв. Сразу заподозрили что-то неладное, человек докапывался до каждой мелочи, при попытках решить проблему не хотел ничего слушать. Были и предьявы по факту, провайдера, на котором у нас хостится точка входа в инфруструктуру дудосили, и запросы в панель шли очень медленно, но мы оперативно заменили vps и все заработало быстро, также мы по ошибке залили в основу битый билд, который не работал, но помимо него в панели были предыдущие рабочие версии, но человек сфокисировался именно на нем, и кричал что ничего не работает, не хотел больше разбираться, хотя мы его попросили использовать предыдущий билд, пока мы исправляем ситуацию, он работает исправно).

В процессе общения человек в открытую заявил, что раньше сотрудничал с lumma (а может и сейчас сотрудничает, всем известна его репутация, и как он пытался подставить конкурентов). Так же человек прямо обозначил свою связь с проектом OLYMP BOTNET, и позже заявил, что этот проект работает по РУ. После этого он в диалоге писал не "я", а "мы", так что скорее всего персонаж тоже работает по РУ.

Через несколько часов написал нам, что ему в руки попал файл, сильно напоминающий наш билд, но работающий по СНГ.

Спойлер: Его вообщения

Ну вот, смотри нам скинули в наш чат стиллер покрытый криптом попросили запатчить
Мы посмотрели и все в 1 в 1 как у вас
Всё аналогично, даже шифруются сообщения между C2 так же.
Точно такие-же сигнатуры как и у вас
И так делает только аура, ничего больше
Вот только одно есть
Он по СНГ работал
Что скажешь?

В ответ мы заявили, что мы не работаем по СНГ, у нас две проверки - одна в билде (проверка языка системы и раскладки) + проверка по IP на сервере, и что скорее всего кто-то запатчил билд. Но даже если билд будет пропатчен, наш сервер не примет логи с СНГ IP адресов. Далее человек пытаясь взять на понт (а смысл?) сказал, что никаких следов патча нет. На это мы ответили, что у нас сохраняются хеши всех оригинальных билдов выгруженных пользователями с панели, и доказать, что он был пропатчен не составит труда. Человек поплыл и понял, что просто так обмануть не получится и придумал, что билд был закриптован, ссылаясь на то, что теперь хеш получить невозможно. Но это неправда, все крипторы держат запакованный билд в своих данных, и перед тем как он будет загружен в память он должен быть считан в чистом виде. Если перехватить массив байт с билдом после дешифровки, но до загрузки в память, там будет находиться оригинальный PE файл.

Далее от пользователя были сообщения следующего характера:

Спойлер: Его сообщения

Ты считаешь возможно что ауру запатчили?
А поведение если точ в точ как у ауры?И мы получив панель/билд в этом убедились
Там нет следов патча - nop или других инструкций.
На чью сторону админы встанут то... Прокладка их, C2 их, код их, генерирует логи так же, проверки анти-СНГ нет

Мы и ранее посчитали его поведение странным, но тут сразу стало ясно, что он пытается подставить нас. Видимо проект/ы, с которыми он связан очень сильно обеспокоены нашим появлением на рынке и готовы заниматься грязью. Пазл сложился.
После этого мы решили поискать билды, которые он скачивал на предмет слива. И да, один из билдов бьется по хешу на virustotal. Очевидно, что крыса пробралась на корабль с целью нагадить. После этого мы забанили ему аккаунт и он написал "Готовьтесь, скоро все поймете". Дальше юзер почистил переписку, но он не знал, что мы взяли его на карандаш и постоянно выгружали диалоги. Полный дамп переписки прикладываем ниже.

admin, просим обратить внимание, очевидно готовится подстава
Также прикладываем сюда ссылку на недавний разбор нашего билда от пользователя wizardo, в его первом обзоре можно четко разглядеть следующий фрагмент:

Бежим дальше и встречаем вот это -
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/attachments/109104/
RU,AZ,AM,AB,BY,GE,KZ,KG,MD,TJ,TM,UA,UZ,LT,LV,EE

Полный обзор - https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/141592/

 

[ordinaria1]

В процессе общения человек в открытую заявил, что раньше сотрудничал с lumma (а может и сейчас сотрудничает, всем известна его репутация, и как он пытался подставить конкурентов). Так же человек прямо обозначил свою связь с проектом OLYMP BOTNET, и позже заявил, что этот проект работает по РУ. После этого он в диалоге писал не "я", а "мы", так что скорее всего персонаж тоже работает по РУ.

Человек ранее ушел в бан за работу по РУ - OLYMPO.

 

[AuraCorp]

Человек ранее ушел в бан за работу по РУ - OLYMPO.

Возможно это его мульт, не возьмусь утверждать. Но если внимательно прочитать диалоги, он называет OLYMP лучшим, писал "знаком с кодером, он меня и учил кодить/реверсить", определенно связь имеется.

 

[warp]

Для всех желающих внизу прикреплен полный дамп переписки с пользователем в ТГ.

Дали человеку потестить софт за отзыв. Сразу заподозрили что-то неладное, человек докапывался до каждой мелочи, при попытках решить проблему не хотел ничего слушать. Были и предьявы по факту, провайдера, на котором у нас хостится точка входа в инфруструктуру дудосили, и запросы в панель шли очень медленно, но мы оперативно заменили vps и все заработало быстро, также мы по ошибке залили в основу битый билд, который не работал, но помимо него в панели были предыдущие рабочие версии, но человек сфокисировался именно на нем, и кричал что ничего не работает, не хотел больше разбираться, хотя мы его попросили использовать предыдущий билд, пока мы исправляем ситуацию, он работает исправно).

В процессе общения человек в открытую заявил, что раньше сотрудничал с lumma (а может и сейчас сотрудничает, всем известна его репутация, и как он пытался подставить конкурентов). Так же человек прямо обозначил свою связь с проектом OLYMP BOTNET, и позже заявил, что этот проект работает по РУ. После этого он в диалоге писал не "я", а "мы", так что скорее всего персонаж тоже работает по РУ.

Через несколько часов написал нам, что ему в руки попал файл, сильно напоминающий наш билд, но работающий по СНГ.

Спойлер: Его вообщения

Ну вот, смотри нам скинули в наш чат стиллер покрытый криптом попросили запатчить
Мы посмотрели и все в 1 в 1 как у вас
Всё аналогично, даже шифруются сообщения между C2 так же.
Точно такие-же сигнатуры как и у вас
И так делает только аура, ничего больше
Вот только одно есть
Он по СНГ работал
Что скажешь?

В ответ мы заявили, что мы не работаем по СНГ, у нас две проверки - одна в билде (проверка языка системы и раскладки) + проверка по IP на сервере, и что скорее всего кто-то запатчил билд. Но даже если билд будет пропатчен, наш сервер не примет логи с СНГ IP адресов. Далее человек пытаясь взять на понт (а смысл?) сказал, что никаких следов патча нет. На это мы ответили, что у нас сохраняются хеши всех оригинальных билдов выгруженных пользователями с панели, и доказать, что он был пропатчен не составит труда. Человек поплыл и понял, что просто так обмануть не получится и придумал, что билд был закриптован, ссылаясь на то, что теперь хеш получить невозможно. Но это неправда, все крипторы держат запакованный билд в своих данных, и перед тем как он будет загружен в память он должен быть считан в чистом виде. Если перехватить массив байт с билдом после дешифровки, но до загрузки в память, там будет находиться оригинальный PE файл.

Далее от пользователя были сообщения следующего характера:

Спойлер: Его сообщения

Ты считаешь возможно что ауру запатчили?
А поведение если точ в точ как у ауры?И мы получив панель/билд в этом убедились
Там нет следов патча - nop или других инструкций.
На чью сторону админы встанут то... Прокладка их, C2 их, код их, генерирует логи так же, проверки анти-СНГ нет

Мы и ранее посчитали его поведение странным, но тут сразу стало ясно, что он пытается подставить нас. Видимо проект/ы, с которыми он связан очень сильно обеспокоены нашим появлением на рынке и готовы заниматься грязью. Пазл сложился.
После этого мы решили поискать билды, которые он скачивал на предмет слива. И да, один из билдов бьется по хешу на virustotal. Очевидно, что крыса пробралась на корабль с целью нагадить. После этого мы забанили ему аккаунт и он написал "Готовьтесь, скоро все поймете". Дальше юзер почистил переписку, но он не знал, что мы взяли его на карандаш и постоянно выгружали диалоги. Полный дамп переписки прикладываем ниже.

admin, просим обратить внимание, очевидно готовится подстава
Также прикладываем сюда ссылку на недавний разбор нашего билда от пользователя wizardo, в его первом обзоре можно четко разглядеть следующий фрагмент:

Полный обзор - https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/141592/

этот CODE XREF авторитет какой то местный, что ли?

к сравнению ту же люмму гасили за "стук по снг" на протяжении всего времени, что он работал и патчили и крякали и делали кастомные загрузчики что бы обходить СНГ проверки.
я это к чему - даже если они собирается делать какие то подставы, реагировать на это так остро не стоит, вот например интересное обсуждение - https://xss.pro/threads/133549/
мне кажется это выглядит в разы устрошающе чем угрозы CODE XREF

 

[AuraCorp]

этот CODE XREF авторитет какой то местный, что ли?

к сравнению ту же люмму гасили за "стук по снг" на протяжении всего времени, что он работал и патчили и крякали и делали кастомные загрузчики что бы обходить СНГ проверки.
я это к чему - даже если они собирается делать какие то подставы, реагировать на это так остро не стоит, вот например интересное обсуждение - https://xss.pro/threads/133549/
мне кажется это выглядит в разы устрошающе чем угрозы CODE XREF

Да врушка это местная. Мы решили показать эту ситуацию сообществу, пусть знают, что такой мудак есть, и чем он занимается. До создания этого поста списались с админом, бегло описали ситуацию, он ответил, что не знает деталей (на тот момент не скидывали ему все диалоги), поэтому пока посоветовал только вынести ситуацию в публичную плоскость. Не в таком виде конечно, как мы сделали, но после обнаружения слива билда пазл сложился и все стало очевидно, в результате появился этот тред.

 

[TrickStar]

Чудикам не сидится на месте, гадят от души потому что по жизни черти

 

[society]

Да врушка это местная. Мы решили показать эту ситуацию сообществу, пусть знают, что такой мудак есть, и чем он занимается. До создания этого поста списались с админом, бегло описали ситуацию, он ответил, что не знает деталей (на тот момент не скидывали ему все диалоги), поэтому пока посоветовал только вынести ситуацию в публичную плоскость. Не в таком виде конечно, как мы сделали, но после обнаружения слива билда пазл сложился и все стало очевидно, в результате появился этот тред.

больше интересно одно: почему конкретно он получил тест? вроде как в вашем треде тест был платный, а как я понял тут он получил его бесплатно

 

[xChimera]

Ну вот, смотри нам скинули в наш чат стиллер покрытый криптом попросили запатчить
Мы посмотрели и все в 1 в 1 как у вас
Всё аналогично, даже шифруются сообщения между C2 так же.
Точно такие-же сигнатуры как и у вас
И так делает только аура, ничего больше
Вот только одно есть
Он по СНГ работал
Что скажешь?

Попросили запатчить что?
Ну сказал и сказал, слова в нашем мире пиздеж и ничего не значат

Человек поплыл и понял, что просто так обмануть не получится и придумал, что билд был закриптован, ссылаясь на то, что теперь хеш получить невозможно. Но это неправда, все крипторы держат запакованный билд в своих данных, и перед тем как он будет загружен в память он должен быть считан в чистом виде. Если перехватить массив байт с билдом после дешифровки, но до загрузки в память, там будет находиться оригинальный PE файл.

Не всегда, как правило в мануал лоадпе можно ограничиться костантами из нт хидеров - а остальное вплотную до секций обрезать
Куда разумнее считать хеши секций также их сумму + оригинальный хеш

Патчинг файла это не тупо нопы, там много чего накидать можно, учитывая обф с mov rcx, [423043]; add rcx, 123456; jmp rcx и тд
Так что тест на патчинг можно пройти только сравнив хеш ехе и хеш в базе ауры
Да и если пошло на то - пусть предоставит криптованный билд, например мне - я расковыряю и предоставлю извлеченный пейлоад

Ты считаешь возможно что ауру запатчили?
А поведение если точ в точ как у ауры?И мы получив панель/билд в этом убедились
Там нет следов патча - nop или других инструкций.
На чью сторону админы встанут то... Прокладка их, C2 их, код их, генерирует логи так же, проверки анти-СНГ нет

Если бы я был представителем\кодером маас стиллера, то на 1 вопрос я ответил бы "да мне похуй как то"

А где пруфы что стучит по снг? Без пруфов - "недостаточно доказательств. Закрыто."
Даже если нет проверки, то это не значит что лог доходит до панели

Заметьте, я не принимаю чью либо сторону, а держусь фактов

Возможно это его мульт, не возьмусь утверждать. Но если внимательно прочитать диалоги, он называет OLYMP лучшим, писал "знаком с кодером, он меня и учил кодить/реверсить", определенно связь имеется.

Если люди работают по ру, то это априори ебланы, долбоебы и много других синонимов, более нечего обсуждать

В целом сказать более нечего, но о человеке пометочку карандашом сделал

 

[AuraCorp]

больше интересно одно: почему конкретно он получил тест? вроде как в вашем треде тест был платный, а как я понял тут он получил его бесплатно

Это было уже после окончания тестового периода, человек попросил несколько дней за отзыв, мы выдали (можем себе позволить), но в диалоге больше казалось, что его интересует именно реверс билда, в итоге цели оказались совсем иными, он ничего не лил, проверил только стук, один лог из GB пришел, и затем слил билды на VT. Больше бесплатных тестов не будет.

 

[xChimera]

Это было уже после окончания тестового периода, человек попросил несколько дней за отзыв, мы выдали (можем себе позволить), но в диалоге больше казалось, что его интересует именно реверс билда, в итоге цели оказались совсем иными, он ничего не лил, проверил только стук, один лог из GB пришел, и затем слил билды на VT. Больше бесплатных тестов не будет.

Не вывез реверс потому решил взять на блеф

 

[TrickStar]

Не вывез реверс потому решил взять на блеф

Интересно какую цель он этим преследует, вроде конкурентов на рынке очень мало
Мне кажется мамкин-рекетир балуется

 

[AuraCorp]

Интересно какую цель он этим преследует, вроде конкурентов на рынке очень мало
Мне кажется мамкин-рекетир балуется

Клоп мал, да вонюч)