Game Over: Разбираем стилер, атакующий геймеров
Собрать после работы друзей в Discord* и откатать пару каточек в Dota2 или CS2 — идеально.
Если вы являетесь счастливым владельцем скина на АК-47 «Поверхностная закалка» с паттерном 661 (стоимостью от $1 млн), керамбита Doppler Ruby (стоимость от $8 тыс.) или другого крутого цифрового актива, то, скорее всего, не хотите, чтобы их украли. Кража скинов в CS — это, конечно, очень редкий случай, но что если кто-нибудь получит доступ к вашему Discord*, Telegram или вообще всем паролям в браузере?
Конечно, пополнять своими данными списки и без того масштабных утечек не хочется, но при чем здесь онлайн-игры? Дело в том, что существует вредоносное программное обеспечение, которое нацелено именно на игровое комьюнити. ВПО распространяется через Discord*, фейковые обновления в Steam или через фейковые сайты с ранним доступом к популярным играм.
Под катом препарируем Epsilon Stealer: разбираем, как он работает, как распространяется, чем опасен, а главное — как найти и выявить его работу.
Что за зверь Eplison Stealer
Epsilon — это вредоносное ПО класса «стилер» (ПО для кражи данных) с широким функционалом. После успешного проникновения в систему Epsilon может извлекать чувствительную информацию из браузеров и различных приложений, включая историю посещений сайтов и поиска, файлы cookie, сохраненные учетные данные для входа в систему (имена пользователей / пароли), информацию о криптокошельках, сохраненные номера кредитных карт и т.д.
Разумеется, как и хорошие читы, которые не заметит VAC в CS2, Epsilon распространяется небесплатно. Само ВПО можно приобрести в Telegram и Discord*, также можно получить доступ к облаку логов данных, собранных этим стилером.
Владельцами основного Telegram-канала, в котором продавался стилер @epsilonoff (ныне закрыт), выступали @dovuco (ChatNoir) и @casquette1337 (Casquette). Разработчики общались в основном на французском языке. На основе анализа их активности и графа связей мы считаем, что продажа данных, украденных с помощью Epsilon, — это не единственное направление деятельности злоумышленников.
Граф связей предполагаемых владельцев Epsilon Stealer c Telegram-каналами
Изначально продавался лицензионный ключ для стилера, но в дальнейшем разработчики предпочли перейти на модель продажи подписки с доступом к облаку логов. На момент написания статьи все еще работает Telegram-канал @epsiloncloud:
Пост из Telegram-канала с расценками на доступ к облаку
Какую информацию и из каких приложений может украсть Epsilon Stealer
Получение информации о Discord*-аккаунте:
Nitro
Badges
Информация об оплате
Телефон
·HQ Friends
HQ Guilds
Gift Codes
Discord*-инъекции:
Отправка токена, пароля, адреса электронной при входе в систему или при смене адреса электронной почты / пароля
Данные приложений:
Steam
Riot Games
Telegram
Firefox
Opera
Edge
Chrome
OpenVPN Stealer
WinSCP
Системная информация:
О пользователе
О версии ОС
О дисках
Об установленных средствах защиты (АВПО)
Криптокошельки:
Metamask
Atomic
Exodus
Binance
Coinbase
Trust
Phantom
Файлы Cookie:
TikТok
Roblox
Игровые сессии:
Minecraft Launcher
Lunar Client
В ходе исследования были обнаружены подтверждения тому, что разработчики Epsilon помимо продажи стилера и доступа к украденным данным промышляют взломами коммерческих ресурсов, компаний и даже политическим хактивизмом. Так что разработчиков Epsilon вполне можно назвать киберпреступной группировкой.
Примеры жертв злоумышленников
Взлом shadow.tech, 27 октября 2023 года
Shadow.tech — платформа облачного гейминга, созданная французской компанией Blade. Помимо возможности запуска игр предлагает облачные вычислительные услуги с полным доступом к ПК.
Взлом ign.com, 6 февраля 2024 года
IGN.com (Imagine Games Network) — популярный веб-сайт, посвященный новостям, обзорам и другой информации о видеоиграх, фильмах, телевизионных шоу, комиксах и технологиях.
Взлом LDLC.com и попытка договориться о выкупе, 29 февраля 2024 года
LDLC.com — французский интернет-магазин, специализирующийся на продаже компьютерных комплектующих и готовых сборок. Предлагает широкий ассортимент высокотехнологичной продукции, включая ноутбуки, графические карты, процессоры, мониторы, а также игровые устройства и аксессуары для умного дома.
Взлом нескольких аккаунтов Altice Médias, в том числе BFMTV, RMC, RMC Sport, Estelle Midi, Appoline Matin и Les Grandes gueules, 23 марта 2024 года
Altice Médias — медийное подразделение группы Altice France. Компания владеет несколькими радиостанциями и телеканалами: BFM TV, BFM Business, RMC и различными региональными новостными каналами под брендом BFM.
Взлом YouTube-канала MediaOne TV, 25 марта 2024 года
Media One — индийский информационно-развлекательный телеканал, принадлежащий газете Madhyamam Daily.
Статистика скомпрометированных учетных данных по категориям интернет-ресурсов
ID крупных экосистем
Скомпрометированные данные: социальные сети, почтовые сервисы, облачные хранилища, Apple ID, Google Account, Samsung ID, Yandex ID и пр.
Государственные сайты
Скомпрометированные данные: информация о законах, программах, услугах.
Аккаунты игровых проектов
Скомпрометированные данные: информация о пользователе, игровой прогресс, покупки, данные для связи например, электронная почта.
Мессенджеры
Скомпрометированные данные: личные и служебные переписки, файлы, контактные данные и другая чувствительная информация.
Учебные учреждения
Скомпрометированные данные: информация о студентах и преподавателях.
Платформы поставки ПО и управлением контентом
Скомпрометированные данные: учетные записи от репозиториев gitlab, github, etc.
Онлайн-кинотеатры и сервисы потокового вещания
Скомпрометированные данные: персональные данные пользователей, история просмотров и данные для оплаты.
Жертвы стилера
Согласно статистике, на основе публичных утечек скомпрометированных учетных данных по доменам верхнего уровня жертвами стилера в основном становились пользователи из стран Азии.
Учетные данные стилер упаковывает в простой и понятный документ по формату: веб-ресурс, почта или логин, пароль. Выглядит это так:
Пользователи часто используют один пароль при регистрации на разных ресурсах, что ведет к компрометации сразу нескольких сервисов при краже пароля.
Reverse Engineering
Перейдем к самому интересному, — к «внутренностям» стилера. Рассмотрим, как он работает на низком уровне, затем выявим его на отдельно взятом хосте, а в конце поделимся советами обнаружения автоматизированными средствами типа SIEM.
Файл «b090507ee1bc9373000d6abfa9798aceac64bdf426eedba6f6a0aab49fb30ecd.exe» представляет собой дроппер, вероятно, написанный на JS Electron, поскольку и все остальные модули написаны именно на JS, что подтверждается наличием asar-файла в папке вредоноса.
На самом первом запуске может появиться критическая ошибка с описанием «Операция не была выполнена, поскольку файл содержит вирус или потенциально нежелательное ПО». Поскольку исследуемый файл попал к нам на анализ после компиляции, сложно сказать, была ли эта ошибка всегда или появилась со временем.
После запуска Epsilon создает в папке C:\User\AppData\Local\Temp папку со случайным названием, например »2Z5EMzgNnZUDO8E61245f5K9BRc», и распаковывает в нее само тело вредоноса и вспомогательные файлы и библиотеки.
В нашем случае телом стилера выступает файл «JackAdventureSetup.exe» (но в разных билдах название может отличаться). JackAdventureSetup также написан на JS, что подтверждается большими кусками JS-кода в памяти процесса после запуска.
В дальнейшем этот код исполняется напрямую из оперативной памяти.ВПО запускается со следующей командной строкой:
C:\Users\
После своего запуска вредонос запускает «отвлекающее» окно-заглушку, которое просит ввести ключ, который, кстати, нигде не задан.
В момент запуска выявлено сетевое обращение на ресурс https://ipinfo.io/json.
В коде было выявлено несколько IP-адресов, с которыми никакого сетевого взаимодействия не выявлено. Таким образом обращение к ipinfo и последующее сравнение с IP-листом реализует белый список узлов, на которых вредонос не работает. Гипотеза о том, что IP определяется как один из элементов информации о жертве, маловероятна, так как стилер рассчитан на частные лица, которые в большинстве своем получают доступ в интернет с динамическим IP и находятся за NAT.
Вредонос обращается к файлу hosts, но ничего не записывает в него. Также весьма необычно было выявить сетевые обращения на ресурс googleusercontent. Как выяснилось позже, это артефакт от обращения на ресурс GooglePay с целью хищения данных оттуда.
Как и любой другой стилер, Epsilon собирает чувствительную информацию для дальнейшей ее эксфильтрации.
Среди выявленных источников сбора:
куки из браузеров (Google, BraveSoftware, Yandex, Edge, Vivaldi, Opera, Mozilla) для Twitter, Roblox, Instagram, Tiktok
сохраненные пароли браузеров
история браузеров
сид-фразы из расширений:
Metamask (nkbihfbeogaeaoehlefnkodbefgpgknn)
Metamask_Edge (ejbalbakoplchlghecdalmeeeajnimhm)
Phantom (bfnaelmomeimhlpmgjnjophhpkkoljpa)
Coinbase (hnfanknocfeofbddgcijnmhnfnkdnaad)
Exodus (aholpfdialjgjfhomihkjbmgjidlcdno)
Binance (fhbohimaelbohpjbbldcngcnapndodjp)
Ronin (fnjhmkhhmkbjkkabndcnnogagogbneec)
Coin98(aeachknmefphepccionboohckonoeemg)
KardiaChain (pdadjkfkgcafgbceimcpbkalnfnepbnk)
TerraStation (aiifbnbfobpmeekipheeijimdpnlpgpp)
Wombat (amkmjjmmflddogmhpjloimipbofnfjih)
Harmony (fnnegphlobjdpkhecapkijjdkgcjhkib)
Nami (lpfcbjknijpeeillifnkikgncikgfhdo)
MartianAptos (efbglgofoippbgcjepnhiblaibcnclgk)
Braavos (jnlgamecbpmbajjfhmmmlhejkemejdma)
XDEFI (hmeobnfnfcmdkdcmlblgagmfpfboieaf)
Yoroi (ffnbelfdoeiohenkjibnmadjiehjhajb)
TON (nphplpgoakhhjchkkhmiggakijnkhfnd)
Tron (ibnejdfjmmkpcnlpebklmnkoeoihofec)данные платежных карт
сессии Telegram
токены Discord*
сессии Steam
Все собранные данные стилер сохраняет в папку C:\Users\
Эксфильтрация данных осуществляется на один из двух ресурсов в зависимости от билда:
Оба ресурса имеют схожие обработчики и принимают данные в уже отсортированном виде:
К сожалению, часть потоков постоянно уходила в Fatal Exception, так что часть функционала билда была явно недоступна.
Поиск следов заражения
Initial Access (T1566 Phishing)
Нам известны пути распространения стилера Epsilon несколькими способами.
В редких случаях стилер распространялся в виде вложений к письму. В этом случае файлы могут быть обнаружены в каталоге загрузок почтового клиента:
C:\Users\\[UserName]\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook
Данный путь задается в реестре:
\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Outlook\Security\OutlookSecureTempFolder
Если распространение осуществлялось как рассылка в мессенджер, то под подозрение попадают папки «Загрузки» пользователя. Если ВПО было получено через мессенджер Telegram, то стоит обратить внимание на этот каталог:
C:\Users\[UserName]\Downloads\Telegram Desktop
В целом, каталог загрузок пользователя часто является источником угрозы, так как является по умолчанию местом хранения загружаемых данных браузера и мессенджеров:
C:\Users\[UserName]\Downloads\
Execution (T1204 User Execution)
Существует достаточно много следов, которые свидетельствуют о запуске исполняемого файла на системе. Например, часть реестра C:\Windows\AppCompat\Programs\Amcache.hve
Данный куст реестра хранит информацию об установленных приложениях, загруженных драйверах и выполненных или существующих в системе программах.
File Key Last Write Timestamp | SHA-1 | Full Path |
16.04.2024 09:02:05 | 392668bc670287cacb59fff8621dcf2edd3920fc | c:\users\[UserName] \downloads\epsilon.exe |
Следы запуска Epsilon.exe
Анализ данного артефакта позволяет при расследовании инцидентов идентифицировать ВПО по SHA-1, даже если сам файл уже удален.
Также можем обнаружить следы запуска стилера среди Prefetch. Prefetch-файлы хранятся в каталоге %SystemRoot%\Prefetch и служат для ускорения процесса запуска программ, хранят массу полезной информации с точки зрения расследования инцидентов.
Следы запуска Epsilon.exe
Внутри Prefetch есть временные метки создания, модификации и доступа к исполняемому файлу, размер, а также список каталогов и файлов, с которыми взаимодействовал исполняемый файл. Таким образом, мы можем исследовать дополнительную информацию о полезной нагрузке:
Исследуя артефакты запуска программ, можно заметить, что после запуска Epsilon.exe регистрируется запуск\appdata\local\temp\…\jackadventuresetup.exe
File Key Last Write Timestamp | SHA-1 | Full Path |
16.04.2024 09:02:05 | 25d1ab66532f144eec57f085b31090f360a1fecd | c:\users\[UserName] \appdata\local\temp\…\jackadventuresetup.exe |
Еще один артефакт запуска программы пользователем — это данные из ветви реестра C:\Users\[username]\NTUSER.DAT
NTUSER.DAT\Software\Microsoft\Windows\Currentversion\Explorer\UserAssist\
{CEBFF5CD-ACE2–4F4F-9178–9926F41749EA}\Count
Проанализировав эти данные, мы сможем определить, кто именно из пользователей инициировал запуск ВПО.
Persistence (T1547 Boot or Logon Autostart Execution)
В качестве закрепления данный стилер использует классические варианты — каталог автозапуска и задачи в планировщике. Поэтому для поиска следов необходимо проанализировать:
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
Persistence (T1053 Scheduled Task/Job)
C:\Windows\System32\Tasks
C:\Windows\Tasks
Registry →
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\Taskcache\Tasks
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\Taskcache\Tree
Детект и мониторинг
Далее приводим сценарии детектирования, которые могут помочь обнаружить вредоносную активность стилера.
Активность ВПО
Пользователь «Username» создал задачу по расписанию:
»\CreateExplorerShellUnelevatedTask» с параметром C:\WINDOWS\Explorer.EXE /NoUACCheck
Пользователь «Администратор» удалил запланированную задачу:
\CreateExplorerShellUnelevatedTask
Создание и удаление происходит в рамках 10 минут.
Команда C:\WINDOWS\Explorer.EXE /NoUACCheck используется для запуска Проводника Windows с параметром, который позволяет обходить запросы контроля учетных записей (UAC).
Сценарий обнаружения
title: Сreate and delete scheduled tasks within 10 minutes
id: e1a9e2a8-b5b0-4b0b-9ed6-fdb66fddc1e1
status: experimental
description: Detect for manipulations with scheduled tasks
author: JetCSIRT
date: 2024-05-22
tags:
- attack.Execution
- attack.Persistence
- attack.Privilege Escalation
- attack.T1053.005
logsource:
product: windows
service: taskscheduler
detection:
selection_Task_Create:
EventID:
- 4698 # Task Created
- 602
selection_Task_Delete:
EventID:
- 4699 # Task Deleted
- 560
condition: selection_Task_Create and selection_Task_Delete within 10 minutes
falsepositives:
- Legitimate administrative actions
level: high
Активность ВПО
Активность родительского процесса:
C:\WINDOWS\system32\cmd.exe /d /s /c «wmic /Node: localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format: List»
Команда: /d /s /c «wmic /Node: localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format: List»
Сценарий обнаружения
title: Security Discovery via wmic
id: e1a9e2a8-b5b0-4b0b-9ed6-fdb66fddc1e2
status: experimental
description: Detect for manipulations with scheduled tasks
author: JetCSIRT
date: 2024-05-22
tags:
- attack.execution
- attack.discovery
- attack.t1518.001
- attack.t1047
logsource:
product: windows
service: sysmon
category: process_creation
detection:
selection_WmicDiscovery:
Image|endswith:
- '\wmic.exe'
- '\cmd.exe'
CommandLine|contains:
- 'AntiVirusProduct'
- 'SecurityCenter'
- 'FirewallProduct'
- 'AdvFirewall'
- 'Sysmon'
- 'AntiSpyWareProduct'[АРМ1]
condition: selection_WmicDiscovery
falsepositives:
- Legitimate administrative actions
level: high
Активность ВПО
Активность от родительского процесса:
C:\Windows\system32\reg.exe QUERY «HKCU\SOFTWARE\Martin Prikryl\WinSCP 2\Sessions»
C:\Windows\system32\cmd.exe /d /s /c «C:\Windows\system32\reg.exe QUERY «HKCU\Software\Valve\Steam» /v SteamPath»
Сценарий обнаружения
title: Detection of Epsilon Stealer using Query Registry Technique
description: Detects the presence of Query Registry technique in Epsilon stealer
references:
- https://attack.mitre.org/techniques/T1012/
author: JetCSIRT
date: 2024/05/22
status: experimental
tags:
- attack.t1012
logsource:
product: windows
category: process_creation
detection:
selectionImage:
Image|endswith:
- '\reg.exe'
selectionAction:
CommandLine|contains:
- 'query'
selectionBranch:
CommandLine|re:
- '(?i).*?\\Software\\Valve\\Steam.*'
- '(?i).*?\\SOFTWARE\\Martin\s+Prikryl\\WinSCP\s+\d\\Sessions.*'
condition: selectionImage and selectionAction and selectionBranch
fields:
- Image
falsepositives:
- Unknown
Активность ВПО
Запуск команд от имени родительского процесса
C:\Windows\system32\cmd.exe /d /s /c «tasklist»
Сценарий обнаружения
title: Suspicious Process Discovery via Powershell
description: An attempt to obtain information about running processes in the system.
author: JetCSIRT
status: experimental
date: 2024/05/22
tags:
- attack.discovery
- attack.T1057
logsource:
product: windows
category: ps_script
definition: 'Requirements: Script Block Logging must be enabled'
detection:
selectionScript:
ScriptBlockText|re:
- 'win32_process|get-process|(tasklist|pslist|pslist64|rtlist|tlist|qprocess)\.exe'
condition: selectionScript
falsepositives:
- Legitimate System Administrator actions
level: low
Активность ВПО
Запуск команд от имени родительского процесса:
netsh wlan show profiles
C:\WINDOWS\system32\cmd.exe /d /s /c «cmd /c chcp 65001>nul && netsh wlan show profiles»
Сценарий обнаружения
title: Network Configuration Discovery via Utilities
description: Network Configuration Discovery via Utilities
author: JetCSIRT
status: experimental
date: 2024/05/22
tags:
- attack.discovery
- attack.T1016
logsource:
category: process_creation
product: windows
detection:
selection1:
Image|endswith: '\ipconfig.exe'
CommandLine|contains:
- 'a'
- '/all'
selection2:
Image|endswith: '\nbtstat.exe'
CommandLine|contains:
- '-c'
- '-n'
- '-r'
- '-s'
selection3:
Image|endswith: '\netsh.exe'
CommandLine|contains|all:
- 'interface'
- 'show'
selection4:
Image|endswith: '\route.exe'
CommandLine|contains|all: 'print'
selection5:
Image|endswith:
- '\net.exe'
- '\net1.exe'
CommandLine|contains: 'config'
selection6:
Image|endswith: '\wmic.exe'
Commandline|re: 'wmic(\.exe)?\s+nic\\b'
selection7:
Image|endswith: '\arp.exe'
CommandLine|contains: '-a'
condition: selection1 or selection2 or selection3 or selection4 or selection5 or selection6 or selection7
falsepositives:
- Legitimate System Administrator actions
level: medium
Как защититься
Epsilon Stealer — распространенный, опасный, но в то же время довольно простой вредонос. Несмотря на то, что он направлен в основном на геймерское комьюнити, его жертвой становятся корпоративные пользователи и даже госслужащие. Главное — не забывать, что использование одинаковых паролей на разных ресурсах, а особенно личных и используемых в рабочих процессах, — это прямой путь в списки утечек подобных стилеров.
Центр мониторинга и реагирования на инциденты информационной безопасности Jet CSIRT рекомендует:
использовать менеджер паролей для использования сложных и различающихся паролей на разных площадках;
включать двухфакторную аутентификацию на всех площадках, где это возможно;
использовать средства антивирусной защиты на домашних и корпоративных компьютерах;
добавить индикаторы компрометации в средства защиты информации и средства мониторинга ИБ.
Полезное
IOC:
Файл | MD5 | SHA256 |
BetaUnfrated.exe | a2d8ef56207bbdbc6a43d4d409e76698 | d4990f7bcb35710c9a38dfb8c6cb324e43c47c72c6bb9c48d16d6b192fae4957 |
EpsilonFruit.exe | 3b75fbd96388d92a64dc14d9aeea8235 | 0577b7e8c6a4d394e8be1eff342905b2f2c08490835716bd44e8e5158a3d7149 |
amazing-game.html | 5c43ff6d41b101f650e5a7f08f3cc6fd | 987423c597ac8f56c8b48352a70aca956d386f52 |
Ghostbane.exe | 807f4058831c664d137f1c19d69379e6 | 9c1a052b4f6fbbe3c6437b3af2a3f93f2218b3c175073e7daeb6361f999a94c5 |
MariyelTherapy_Launcher.exe | 322b47588bff2fcebe8c7f61bd3f3be6 | 4728b5eb6799fbe8850e03e7f7c73ceb7e530010b6179e157a016a6519cd1a31 |
LastMoonSetup.exe | 95af6ccd9c3acaf7bcc41ee0b46d23cf | a9ea01437d2621405693bf37b93d8fe067954ee00171ccfb07e50b0e71e43b8f |
EmberLast.exe | ca40912723ba3454c9d89a73f77cb728 | 86e4e34b6c10ec80578ab17c4c6ff33b0a2957f35e1b2eff3316cb66c019b655 |
Сайты распространения Epsilon под видом фейковых игр:
voidofspacesite[.]web[.]app
voidvanguard[.]com
spiralcircus[.]000webhostapp[.]com
hentaimaster[.]fr
crazydown[.]kissonbahar6[.]repl[.]co
rogue-legacy[.]com
rolaslegacy[.]com
worldofsymphony[.]org
articpunk[.]com
timberstory[.]xyz
fightordie[.]xyz
adventure-stampede[.]com
snotragame[.]com
movesoul[.]xyz
survival-machine[.]net
shirokim[.]github[.]io
strangerlegends[.]com
slayercat[.]net
voidspace[.]netlify[.]app
spaceboxx[.]netlify[.]app
vaniapunk[.]org
spiralcircusgame[.]com
westron19560[.]github[.]io
www[.]strangercosmic[.]com
snotragame[.]xyz
www[.]conquistadorio[.]com
ronawind[.]xyz
mythicguardian[.]com
awaking-godsoul[.]github[.]io
homurahime[.]website
grimwalker[.]com
voidofspaceofficial[.]netlify[.]app
voidofspace[.]fr
www[.]deadlegacy[.]us
nobodysleft[.]com
aqua-phobia[.]com
homurahime-game[.]github[.]io
amber-punk[.]netlify[.]app
jack-move[.]github[.]io
flyhighshotter[.]xyz
www[.]gamerforyou[.]com
robuxcondogen[.]com
free-ride-games[.]github[.]io
pokemonaventure[.]com
ultra-flighter[.]site
articpunk[.]dev
quietforestt[.]netlify[.]app
vaniapunkalpha[.]github[.]io
theblacktail[.]com
siltgame[.]xyz
betasteam-farnorthsurvival[.]github[.]io
conquistadorio[.]vercel[.]app
conditus[.]ml
rolaslegacy[.]web[.]app
pokemonadventure[.]fr
blendy-beta[.]com
shirone[.]xyz
mythic-guardian[.]fr
spacevoid[.]netlify[.]app
vaniapunk[.]vercel[.]app
deadsould[.]com
mariyel-therapy[.]com
homuracode[.]github[.]io
dsadsada[.]hamurahime[.]repl[.]co
sacrifire-dev[.]github[.]io
www[.]pokemonadventure[.]fr
homurahime[.]online
mxty[.]netlify[.]app
quietforest[.]netlify[.]app
humarahime[.]humarabeta[.]repl[.]co
beta[.]samuraihime[.]tk
duskonyx[.]github[.]io
icedungeon[.]xyz
voidvanguard[.]netlify[.]app
rustlerlegacy[.]netlify[.]app
geta[.]fpbooster[.]repl[.]co
articpunk[.]net
kasokodev[.]zip
rolalegacy[.]netlify[.]app
worldofsymphony-github-io[.]pages[.]dev
game-epsilon[.]netlify[.]app
vaniapunkgame[.]com
plaguehunter[.]com
auraadragons[.]creseller[.]tk
spacewars-beta[.]tk
www[.]shirokim[.]com
movesoul[.]yaziciali[.]repl[.]co
akanamra[.]github[.]io
shirokiq[.]github[.]io
theanotherman[.]site
moveworldbeta[.]tugrulkarabiber[.]repl[.]co
aquafridge[.]site
voidofspace[.]ml
smashpunks[.]github[.]io
deadsould[.]xyz
voidofspace2[.]netlify[.]app
pistol-service[.]online
punkvania[.]com
haikuthemachine[.]org
articpunk[.]org
battle-charge[.]com
stone-guardian[.]github[.]io
deadlegacy[.]org
articpunkbeta[.]github[.]io
trailofnanook[.]net
play-silt[.]games
www[.]siltproject[.]xyz
flstudiocrack[.]fr
moveworld[.]netlify[.]app
worldofsymphony[.]net
mythic-guardian[.]web[.]app
nobodysleft[.]netlify[.]app
weavergames[.]xyz
abyssgame[.]net
akatorii[.]github[.]io
lumnis-games[.]netlify[.]app
epsilone-games[.]com
vaniapunkgames[.]github[.]io
movesoul[.]aliyazici1[.]repl[.]co
skydaysn[.]netlify[.]app
nitro-generator[.]inovaperf[.]me
movesoul[.]aliyzc1[.]repl[.]co
voidospace[.]netlify[.]app
unturned[.]fr
homura-studio[.]com
adventureofpokemon[.]000webhostapp[.]com
dualcorps[.]fr
legacysurvival[.]fr
survival-machine[.]tk
Домены, связанные с Epsilon C2:
api.epsilon1337[.]com
wdb[.]life
panelweb[.]equi-hosting[.]fr
plesk[.]equi-hosting[.]fr
whoevenareyou[.]equi-hosting[.]fr
Список криптокошельков, связанных с Epsilon Group:
BTC: bc1q9l8p3dzkmdts3272q4tp6frwhtwmuqkg0czcea
ETH: 0×4d9733a6ad7D595A15Cfd9bBc76C91A5aF2F4936
LTC: LQNhcBYUj2i6ui6LJ6BrLA2uxjhqsphfwg
TRON: TA3fa9sdBm7dkTUsWPECYEAmbUsMchLDzL
USDT: 0×4d9733a6ad7D595A15Cfd9bBc76C91A5aF2F4936
SOLANA: D3TQSDCtYJayew8c7o4AJBrfnHsvpkGsAHjQKaLtx8PL
MONERO: 41xfrpuMUtecVTQxKtRnB9i9Xa9XgCmevXBHYg5×9AzaPQH9thpYJS6Lem5mXqoFczHuCj8tvfTtGam9g2V98KwrT1hxmJY
VECHAIN: 0xa7B321B2a93F928183533cA3B2eB7406F3912074
BNB: bnb1q2l88lzue3wm335enst7r6p05ap9098kwvache
XRP: rMbAvDzBsn28QjDMQ4LJZA9TmznbrUS5kJ
USDC: 0×4d9733a6ad7D595A15Cfd9bBc76C91A5aF2F4936
ADA: addr1q8azmdthp8slevt7rlgryhfm0hsdj2jsc5xx9a2plsskqf069k6hwz0pljchu87sxfwnkl0qmy49p3gvvt65rlppvqjs47k5w5
AVAX: 0×4d9733a6ad7D595A15Cfd9bBc76C91A5aF2F4936
DOGECOIN: DKXXuuZiAXFNZkHV2SwwCCfoXh1xui98uz
POLKADOT : 15TEvAaqkj2WJWxziBZxivKfydy3VgbDh6oQ9fu5LkpGboCa
POLYGON: 0×4d9733a6ad7D595A15Cfd9bBc76C91A5aF2F4936
ATOM: cosmos1n42karps88yd9j60nw62cedfa8gw37g6uld9xj
ALGO: POMUSKXL4AIEQLSHWQRIH3QWNSXXIZSTY5QOH7MY47PRBLALE47YKVCHXM
TEZOS: tz1SnCBs6EHGCg7oqq1xh5tSHAbTfpLbsrVj
* Заблокирован в РФ.
