Собрать после работы друзей в Discord* и откатать пару каточек в Dota2 или CS2 — идеально.
Если вы являетесь счастливым владельцем скина на АК-47 «Поверхностная закалка» с паттерном 661 (стоимостью от $1 млн), керамбита Doppler Ruby (стоимость от $8 тыс.) или другого крутого цифрового актива, то, скорее всего, не хотите, чтобы их украли. Кража скинов в CS — это, конечно, очень редкий случай, но что если кто-нибудь получит доступ к вашему Discord*, Telegram или вообще всем паролям в браузере?
Конечно, пополнять своими данными списки и без того масштабных утечек не хочется, но при чем здесь онлайн-игры? Дело в том, что существует вредоносное программное обеспечение, которое нацелено именно на игровое комьюнити. ВПО распространяется через Discord*, фейковые обновления в Steam или через фейковые сайты с ранним доступом к популярным играм.
Под катом препарируем Epsilon Stealer: разбираем, как он работает, как распространяется, чем опасен, а главное — как найти и выявить его работу.
Что за зверь Eplison Stealer
Epsilon — это вредоносное ПО класса «стилер» (ПО для кражи данных) с широким функционалом. После успешного проникновения в систему Epsilon может извлекать чувствительную информацию из браузеров и различных приложений, включая историю посещений сайтов и поиска, файлы cookie, сохраненные учетные данные для входа в систему (имена пользователей / пароли), информацию о криптокошельках, сохраненные номера кредитных карт и т.д.
Разумеется, как и хорошие читы, которые не заметит VAC в CS2, Epsilon распространяется небесплатно. Само ВПО можно приобрести в Telegram и Discord*, также можно получить доступ к облаку логов данных, собранных этим стилером.
Владельцами основного Telegram-канала, в котором продавался стилер @epsilonoff (ныне закрыт), выступали @dovuco (ChatNoir) и @casquette1337 (Casquette). Разработчики общались в основном на французском языке. На основе анализа их активности и графа связей мы считаем, что продажа данных, украденных с помощью Epsilon, — это не единственное направление деятельности злоумышленников.
Изначально продавался лицензионный ключ для стилера, но в дальнейшем разработчики предпочли перейти на модель продажи подписки с доступом к облаку логов. На момент написания статьи все еще работает Telegram-канал @epsiloncloud:
Какую информацию и из каких приложений может украсть Epsilon Stealer
Получение информации о Discord*-аккаунте:
Nitro
Badges
Информация об оплате
Телефон
·HQ Friends
HQ Guilds
Gift Codes
Discord*-инъекции:
Отправка токена, пароля, адреса электронной при входе в систему или при смене адреса электронной почты / пароля
Данные приложений:
Steam
Riot Games
Telegram
Firefox
Opera
Edge
Chrome
OpenVPN Stealer
WinSCP
Системная информация:
О пользователе
О версии ОС
О дисках
Об установленных средствах защиты (АВПО)
Криптокошельки:
Metamask
Atomic
Exodus
Binance
Coinbase
Trust
Phantom
Файлы Cookie:
TikТok
Roblox
Игровые сессии:
Minecraft Launcher
Lunar Client
В ходе исследования были обнаружены подтверждения тому, что разработчики Epsilon помимо продажи стилера и доступа к украденным данным промышляют взломами коммерческих ресурсов, компаний и даже политическим хактивизмом. Так что разработчиков Epsilon вполне можно назвать киберпреступной группировкой.
Примеры жертв злоумышленников
Взлом shadow.tech, 27 октября 2023 года
Shadow.tech — платформа облачного гейминга, созданная французской компанией Blade. Помимо возможности запуска игр предлагает облачные вычислительные услуги с полным доступом к ПК.
Взлом ign.com, 6 февраля 2024 года
IGN.com (Imagine Games Network) — популярный веб-сайт, посвященный новостям, обзорам и другой информации о видеоиграх, фильмах, телевизионных шоу, комиксах и технологиях.
Взлом LDLC.com и попытка договориться о выкупе, 29 февраля 2024 года
LDLC.com — французский интернет-магазин, специализирующийся на продаже компьютерных комплектующих и готовых сборок. Предлагает широкий ассортимент высокотехнологичной продукции, включая ноутбуки, графические карты, процессоры, мониторы, а также игровые устройства и аксессуары для умного дома.
Взлом нескольких аккаунтов Altice Médias, в том числе BFMTV, RMC, RMC Sport, Estelle Midi, Appoline Matin и Les Grandes gueules, 23 марта 2024 года
Altice Médias — медийное подразделение группы Altice France. Компания владеет несколькими радиостанциями и телеканалами: BFM TV, BFM Business, RMC и различными региональными новостными каналами под брендом BFM.
Взлом YouTube-канала MediaOne TV, 25 марта 2024 года
Media One — индийский информационно-развлекательный телеканал, принадлежащий газете Madhyamam Daily.
Статистика скомпрометированных учетных данных по категориям интернет-ресурсов
ID крупных экосистем
Скомпрометированные данные: социальные сети, почтовые сервисы, облачные хранилища, Apple ID, Google Account, Samsung ID, Yandex ID и пр.
Государственные сайты
Скомпрометированные данные: информация о законах, программах, услугах.
Аккаунты игровых проектов
Скомпрометированные данные: информация о пользователе, игровой прогресс, покупки, данные для связи например, электронная почта.
Мессенджеры
Скомпрометированные данные: личные и служебные переписки, файлы, контактные данные и другая чувствительная информация.
Учебные учреждения
Скомпрометированные данные: информация о студентах и преподавателях.
Платформы поставки ПО и управлением контентом
Скомпрометированные данные: учетные записи от репозиториев gitlab, github, etc.
Онлайн-кинотеатры и сервисы потокового вещания
Скомпрометированные данные: персональные данные пользователей, история просмотров и данные для оплаты.
Жертвы стилера
Согласно статистике, на основе публичных утечек скомпрометированных учетных данных по доменам верхнего уровня жертвами стилера в основном становились пользователи из стран Азии.
Учетные данные стилер упаковывает в простой и понятный документ по формату: веб-ресурс, почта или логин, пароль. Выглядит это так:
Пользователи часто используют один пароль при регистрации на разных ресурсах, что ведет к компрометации сразу нескольких сервисов при краже пароля.
Reverse Engineering
Перейдем к самому интересному, — к «внутренностям» стилера. Рассмотрим, как он работает на низком уровне, затем выявим его на отдельно взятом хосте, а в конце поделимся советами обнаружения автоматизированными средствами типа SIEM.
Файл «b090507ee1bc9373000d6abfa9798aceac64bdf426eedba6f6a0aab49fb30ecd.exe» представляет собой дроппер, вероятно, написанный на JS Electron, поскольку и все остальные модули написаны именно на JS, что подтверждается наличием asar-файла в папке вредоноса.
На самом первом запуске может появиться критическая ошибка с описанием «Операция не была выполнена, поскольку файл содержит вирус или потенциально нежелательное ПО». Поскольку исследуемый файл попал к нам на анализ после компиляции, сложно сказать, была ли эта ошибка всегда или появилась со временем.
После запуска Epsilon создает в папке C:\User\AppData\Local\Temp папку со случайным названием, например «2Z5EMzgNnZUDO8E61245f5K9BRc», и распаковывает в нее само тело вредоноса и вспомогательные файлы и библиотеки.
В нашем случае телом стилера выступает файл «JackAdventureSetup.exe» (но в разных билдах название может отличаться). JackAdventureSetup также написан на JS, что подтверждается большими кусками JS-кода в памяти процесса после запуска.
В дальнейшем этот код исполняется напрямую из оперативной памяти.ВПО запускается со следующей командной строкой:
C:\Users\<username>\AppData\Local\Temp\2Z5EMzgNnZUDO8E61245f5K9BRc\JackAdventureSetup.exe" --type=gpu-process --user-data-dir="C:\Users\<username>\AppData\Roaming\JackAdventureSetup" --gpu-preferences=UAAAAAAAAADgAAAYAAAAAAAAAAAAAAAAAABgAAAAAAAwAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAEgAAAAAAAAASAAAAAAAAAAYAAAAAgAAABAAAAAAAAAAGAAAAAAAAAAQAAAAAAAAAAAAAAAOAAAAEAAAAAAAAAABAAAADgAAAAgAAAAAAAAACAAAAAAAAAA= --mojo-platform-channel-handle=1792 --field-trial-handle=1920,i,7880753882661143058,3340243155985640002,131072 --disable-features=SpareRendererForSitePerProcess,WinRetrieveSuggestionsOnlyOnDemand /prefetch:2
После своего запуска вредонос запускает «отвлекающее» окно-заглушку, которое просит ввести ключ, который, кстати, нигде не задан.
В момент запуска выявлено сетевое обращение на ресурс https://ipinfo.io/json.
В коде было выявлено несколько IP-адресов, с которыми никакого сетевого взаимодействия не выявлено. Таким образом обращение к ipinfo и последующее сравнение с IP-листом реализует белый список узлов, на которых вредонос не работает. Гипотеза о том, что IP определяется как один из элементов информации о жертве, маловероятна, так как стилер рассчитан на частные лица, которые в большинстве своем получают доступ в интернет с динамическим IP и находятся за NAT.
Вредонос обращается к файлу hosts, но ничего не записывает в него. Также весьма необычно было выявить сетевые обращения на ресурс googleusercontent. Как выяснилось позже, это артефакт от обращения на ресурс GooglePay с целью хищения данных оттуда.
Как и любой другой стилер, Epsilon собирает чувствительную информацию для дальнейшей ее эксфильтрации.
Среди выявленных источников сбора:
куки из браузеров (Google, BraveSoftware, Yandex, Edge, Vivaldi, Opera, Mozilla) для Twitter, Roblox, Instagram, Tiktok
сохраненные пароли браузеров
история браузеров
сид-фразы из расширений:
Metamask(nkbihfbeogaeaoehlefnkodbefgpgknn)
Metamask_Edge(ejbalbakoplchlghecdalmeeeajnimhm)
Phantom(bfnaelmomeimhlpmgjnjophhpkkoljpa)
Coinbase(hnfanknocfeofbddgcijnmhnfnkdnaad)
Exodus(aholpfdialjgjfhomihkjbmgjidlcdno)
Binance(fhbohimaelbohpjbbldcngcnapndodjp)
Ronin(fnjhmkhhmkbjkkabndcnnogagogbneec)
Coin98(aeachknmefphepccionboohckonoeemg)
KardiaChain(pdadjkfkgcafgbceimcpbkalnfnepbnk)
TerraStation(aiifbnbfobpmeekipheeijimdpnlpgpp)
Wombat(amkmjjmmflddogmhpjloimipbofnfjih)
Harmony(fnnegphlobjdpkhecapkijjdkgcjhkib)
Nami(lpfcbjknijpeeillifnkikgncikgfhdo)
MartianAptos(efbglgofoippbgcjepnhiblaibcnclgk)
Braavos(jnlgamecbpmbajjfhmmmlhejkemejdma)
XDEFI(hmeobnfnfcmdkdcmlblgagmfpfboieaf)
Yoroi(ffnbelfdoeiohenkjibnmadjiehjhajb)
TON(nphplpgoakhhjchkkhmiggakijnkhfnd)
Tron(ibnejdfjmmkpcnlpebklmnkoeoihofec)данные платежных карт
сессии Telegram
токены Discord*
сессии Steam
Все собранные данные стилер сохраняет в папку C:\Users\<username>\AppData\Local\Temp\epsilon-<username>
Эксфильтрация данных осуществляется на один из двух ресурсов в зависимости от билда:
Оба ресурса имеют схожие обработчики и принимают данные в уже отсортированном виде:
/wallet-seed
/recovered
/log
/token
/twitter-session
/roblox-session
/instagram-session
/tiktok-session
/upload — на данную ручку отправляется вся заархивированная папка с данными.
К сожалению, часть потоков постоянно уходила в Fatal Exception, так что часть функционала билда была явно недоступна.
Поиск следов заражения
Initial Access (T1566 Phishing)
Нам известны пути распространения стилера Epsilon несколькими способами.
В редких случаях стилер распространялся в виде вложений к письму. В этом случае файлы могут быть обнаружены в каталоге загрузок почтового клиента:
C:\Users\\[UserName]\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook
Данный путь задается в реестре:
\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Outlook\Security\OutlookSecureTempFolder
Если распространение осуществлялось как рассылка в мессенджер, то под подозрение попадают папки «Загрузки» пользователя. Если ВПО было получено через мессенджер Telegram, то стоит обратить внимание на этот каталог:
C:\Users\[UserName]\Downloads\Telegram Desktop
В целом, каталог загрузок пользователя часто является источником угрозы, так как является по умолчанию местом хранения загружаемых данных браузера и мессенджеров:
C:\Users\[UserName]\Downloads\
Execution (T1204 User Execution)
Существует достаточно много следов, которые свидетельствуют о запуске исполняемого файла на системе. Например, часть реестра C:\Windows\AppCompat\Programs\Amcache.hve
Данный куст реестра хранит информацию об установленных приложениях, загруженных драйверах и выполненных или существующих в системе программах.
File Key Last Write Timestamp |
SHA-1 |
Full Path |
16.04.2024 09:02:05 |
392668bc670287cacb59fff8621dcf2edd3920fc |
c:\users\[UserName] \downloads\epsilon.exe |
Следы запуска Epsilon.exe
Анализ данного артефакта позволяет при расследовании инцидентов идентифицировать ВПО по SHA-1, даже если сам файл уже удален.
Также можем обнаружить следы запуска стилера среди Prefetch. Prefetch-файлы хранятся в каталоге %SystemRoot%\Prefetch и служат для ускорения процесса запуска программ, хранят массу полезной информации с точки зрения расследования инцидентов.
Внутри Prefetch есть временные метки создания, модификации и доступа к исполняемому файлу, размер, а также список каталогов и файлов, с которыми взаимодействовал исполняемый файл. Таким образом, мы можем исследовать дополнительную информацию о полезной нагрузке:
Исследуя артефакты запуска программ, можно заметить, что после запуска Epsilon.exe регистрируется запуск \appdata\local\temp\...\jackadventuresetup.exe
File Key Last Write Timestamp |
SHA-1 |
Full Path |
16.04.2024 09:02:05 |
25d1ab66532f144eec57f085b31090f360a1fecd |
c:\users\[UserName] \appdata\local\temp\...\jackadventuresetup.exe |
Еще один артефакт запуска программы пользователем — это данные из ветви реестра C:\Users\[username]\NTUSER.DAT
NTUSER.DAT\Software\Microsoft\Windows\Currentversion\Explorer\UserAssist\
{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count
Проанализировав эти данные, мы сможем определить, кто именно из пользователей инициировал запуск ВПО.
Persistence (T1547 Boot or Logon Autostart Execution)
В качестве закрепления данный стилер использует классические варианты — каталог автозапуска и задачи в планировщике. Поэтому для поиска следов необходимо проанализировать:
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
Persistence (T1053 Scheduled Task/Job)
C:\Windows\System32\Tasks
C:\Windows\Tasks
Registry →
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\Taskcache\Tasks
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\Taskcache\Tree
Детект и мониторинг
Далее приводим сценарии детектирования, которые могут помочь обнаружить вредоносную активность стилера.
Активность ВПО
Пользователь «Username» создал задачу по расписанию:
"\CreateExplorerShellUnelevatedTask" с параметром C:\WINDOWS\Explorer.EXE /NoUACCheck
Пользователь «Администратор» удалил запланированную задачу:
\CreateExplorerShellUnelevatedTask
Создание и удаление происходит в рамках 10 минут.
Команда C:\WINDOWS\Explorer.EXE /NoUACCheck используется для запуска Проводника Windows с параметром, который позволяет обходить запросы контроля учетных записей (UAC).
Сценарий обнаружения
title: Сreate and delete scheduled tasks within 10 minutes
id: e1a9e2a8-b5b0-4b0b-9ed6-fdb66fddc1e1
status: experimental
description: Detect for manipulations with scheduled tasks
author: JetCSIRT
date: 2024-05-22
tags:
- attack.Execution
- attack.Persistence
- attack.Privilege Escalation
- attack.T1053.005
logsource:
product: windows
service: taskscheduler
detection:
selection_Task_Create:
EventID:
- 4698 # Task Created
- 602
selection_Task_Delete:
EventID:
- 4699 # Task Deleted
- 560
condition: selection_Task_Create and selection_Task_Delete within 10 minutes
falsepositives:
- Legitimate administrative actions
level: high
Активность ВПО
Активность родительского процесса:
C:\WINDOWS\system32\cmd.exe /d /s /c "wmic /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List"
Команда: /d /s /c "wmic /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List"
Сценарий обнаружения
title: Security Discovery via wmic
id: e1a9e2a8-b5b0-4b0b-9ed6-fdb66fddc1e2
status: experimental
description: Detect for manipulations with scheduled tasks
author: JetCSIRT
date: 2024-05-22
tags:
- attack.execution
- attack.discovery
- attack.t1518.001
- attack.t1047
logsource:
product: windows
service: sysmon
category: process_creation
detection:
selection_WmicDiscovery:
Image|endswith:
- '\wmic.exe'
- '\cmd.exe'
CommandLine|contains:
- 'AntiVirusProduct'
- 'SecurityCenter'
- 'FirewallProduct'
- 'AdvFirewall'
- 'Sysmon'
- 'AntiSpyWareProduct'[АРМ1]
condition: selection_WmicDiscovery
falsepositives:
- Legitimate administrative actions
level: high
Активность ВПО
Активность от родительского процесса:
C:\Windows\system32\reg.exe QUERY "HKCU\SOFTWARE\Martin Prikryl\WinSCP 2\Sessions"
C:\Windows\system32\cmd.exe /d /s /c "C:\Windows\system32\reg.exe QUERY "HKCU\Software\Valve\Steam" /v SteamPath"
Сценарий обнаружения
title: Detection of Epsilon Stealer using Query Registry Technique
description: Detects the presence of Query Registry technique in Epsilon stealer
references:
- https://attack.mitre.org/techniques/T1012/
author: JetCSIRT
date: 2024/05/22
status: experimental
tags:
- attack.t1012
logsource:
product: windows
category: process_creation
detection:
selectionImage:
Image|endswith:
- '\reg.exe'
selectionAction:
CommandLine|contains:
- 'query'
selectionBranch:
CommandLine|re:
- '(?i).*?\\Software\\Valve\\Steam.*'
- '(?i).*?\\SOFTWARE\\Martin\s+Prikryl\\WinSCP\s+\d\\Sessions.*'
condition: selectionImage and selectionAction and selectionBranch
fields:
- Image
falsepositives:
- Unknown
Активность ВПО
Запуск команд от имени родительского процесса
C:\Windows\system32\cmd.exe /d /s /c "tasklist"
Сценарий обнаружения
title: Suspicious Process Discovery via Powershell
description: An attempt to obtain information about running processes in the system.
author: JetCSIRT
status: experimental
date: 2024/05/22
tags:
- attack.discovery
- attack.T1057
logsource:
product: windows
category: ps_script
definition: 'Requirements: Script Block Logging must be enabled'
detection:
selectionScript:
ScriptBlockText|re:
- 'win32_process|get-process|(tasklist|pslist|pslist64|rtlist|tlist|qprocess)\.exe'
condition: selectionScript
falsepositives:
- Legitimate System Administrator actions
level: low
Активность ВПО
Запуск команд от имени родительского процесса:
netsh wlan show profiles
C:\WINDOWS\system32\cmd.exe /d /s /c "cmd /c chcp 65001>nul && netsh wlan show profiles"
Сценарий обнаружения
title: Network Configuration Discovery via Utilities
description: Network Configuration Discovery via Utilities
author: JetCSIRT
status: experimental
date: 2024/05/22
tags:
- attack.discovery
- attack.T1016
logsource:
category: process_creation
product: windows
detection:
selection1:
Image|endswith: '\ipconfig.exe'
CommandLine|contains:
- 'a'
- '/all'
selection2:
Image|endswith: '\nbtstat.exe'
CommandLine|contains:
- '-c'
- '-n'
- '-r'
- '-s'
selection3:
Image|endswith: '\netsh.exe'
CommandLine|contains|all:
- 'interface'
- 'show'
selection4:
Image|endswith: '\route.exe'
CommandLine|contains|all: 'print'
selection5:
Image|endswith:
- '\net.exe'
- '\net1.exe'
CommandLine|contains: 'config'
selection6:
Image|endswith: '\wmic.exe'
Commandline|re: 'wmic(\.exe)?\s+nic\\b'
selection7:
Image|endswith: '\arp.exe'
CommandLine|contains: '-a'
condition: selection1 or selection2 or selection3 or selection4 or selection5 or selection6 or selection7
falsepositives:
- Legitimate System Administrator actions
level: medium
Как защититься
Epsilon Stealer — распространенный, опасный, но в то же время довольно простой вредонос. Несмотря на то, что он направлен в основном на геймерское комьюнити, его жертвой становятся корпоративные пользователи и даже госслужащие. Главное — не забывать, что использование одинаковых паролей на разных ресурсах, а особенно личных и используемых в рабочих процессах, — это прямой путь в списки утечек подобных стилеров.
Центр мониторинга и реагирования на инциденты информационной безопасности Jet CSIRT рекомендует:
использовать менеджер паролей для использования сложных и различающихся паролей на разных площадках;
включать двухфакторную аутентификацию на всех площадках, где это возможно;
использовать средства антивирусной защиты на домашних и корпоративных компьютерах;
добавить индикаторы компрометации в средства защиты информации и средства мониторинга ИБ.
Полезное
IOC:
Файл |
MD5 |
SHA256 |
BetaUnfrated.exe |
a2d8ef56207bbdbc6a43d4d409e76698 |
d4990f7bcb35710c9a38dfb8c6cb324e43c47c72c6bb9c48d16d6b192fae4957 |
EpsilonFruit.exe |
3b75fbd96388d92a64dc14d9aeea8235 |
0577b7e8c6a4d394e8be1eff342905b2f2c08490835716bd44e8e5158a3d7149 |
amazing-game.html |
5c43ff6d41b101f650e5a7f08f3cc6fd |
987423c597ac8f56c8b48352a70aca956d386f52 |
Ghostbane.exe |
807f4058831c664d137f1c19d69379e6 |
9c1a052b4f6fbbe3c6437b3af2a3f93f2218b3c175073e7daeb6361f999a94c5 |
MariyelTherapy_Launcher.exe |
322b47588bff2fcebe8c7f61bd3f3be6 |
4728b5eb6799fbe8850e03e7f7c73ceb7e530010b6179e157a016a6519cd1a31 |
LastMoonSetup.exe |
95af6ccd9c3acaf7bcc41ee0b46d23cf |
a9ea01437d2621405693bf37b93d8fe067954ee00171ccfb07e50b0e71e43b8f |
EmberLast.exe |
ca40912723ba3454c9d89a73f77cb728 |
86e4e34b6c10ec80578ab17c4c6ff33b0a2957f35e1b2eff3316cb66c019b655 |
Сайты распространения Epsilon под видом фейковых игр:
voidofspacesite[.]web[.]app
voidvanguard[.]com
spiralcircus[.]000webhostapp[.]com
hentaimaster[.]fr
crazydown[.]kissonbahar6[.]repl[.]co
rogue-legacy[.]com
rolaslegacy[.]com
worldofsymphony[.]org
articpunk[.]com
timberstory[.]xyz
fightordie[.]xyz
adventure-stampede[.]com
snotragame[.]com
movesoul[.]xyz
survival-machine[.]net
shirokim[.]github[.]io
strangerlegends[.]com
slayercat[.]net
voidspace[.]netlify[.]app
spaceboxx[.]netlify[.]app
vaniapunk[.]org
spiralcircusgame[.]com
westron19560[.]github[.]io
www[.]strangercosmic[.]com
snotragame[.]xyz
www[.]conquistadorio[.]com
ronawind[.]xyz
mythicguardian[.]com
awaking-godsoul[.]github[.]io
homurahime[.]website
grimwalker[.]com
voidofspaceofficial[.]netlify[.]app
voidofspace[.]fr
www[.]deadlegacy[.]us
nobodysleft[.]com
aqua-phobia[.]com
homurahime-game[.]github[.]io
amber-punk[.]netlify[.]app
jack-move[.]github[.]io
flyhighshotter[.]xyz
www[.]gamerforyou[.]com
robuxcondogen[.]com
free-ride-games[.]github[.]io
pokemonaventure[.]com
ultra-flighter[.]site
articpunk[.]dev
quietforestt[.]netlify[.]app
vaniapunkalpha[.]github[.]io
theblacktail[.]com
siltgame[.]xyz
betasteam-farnorthsurvival[.]github[.]io
conquistadorio[.]vercel[.]app
conditus[.]ml
rolaslegacy[.]web[.]app
pokemonadventure[.]fr
blendy-beta[.]com
shirone[.]xyz
mythic-guardian[.]fr
spacevoid[.]netlify[.]app
vaniapunk[.]vercel[.]app
deadsould[.]com
mariyel-therapy[.]com
homuracode[.]github[.]io
dsadsada[.]hamurahime[.]repl[.]co
sacrifire-dev[.]github[.]io
www[.]pokemonadventure[.]fr
homurahime[.]online
mxty[.]netlify[.]app
quietforest[.]netlify[.]app
humarahime[.]humarabeta[.]repl[.]co
beta[.]samuraihime[.]tk
duskonyx[.]github[.]io
icedungeon[.]xyz
voidvanguard[.]netlify[.]app
rustlerlegacy[.]netlify[.]app
geta[.]fpbooster[.]repl[.]co
articpunk[.]net
kasokodev[.]zip
rolalegacy[.]netlify[.]app
worldofsymphony-github-io[.]pages[.]dev
game-epsilon[.]netlify[.]app
vaniapunkgame[.]com
plaguehunter[.]com
auraadragons[.]creseller[.]tk
spacewars-beta[.]tk
www[.]shirokim[.]com
movesoul[.]yaziciali[.]repl[.]co
akanamra[.]github[.]io
shirokiq[.]github[.]io
theanotherman[.]site
moveworldbeta[.]tugrulkarabiber[.]repl[.]co
aquafridge[.]site
voidofspace[.]ml
smashpunks[.]github[.]io
deadsould[.]xyz
voidofspace2[.]netlify[.]app
pistol-service[.]online
punkvania[.]com
haikuthemachine[.]org
articpunk[.]org
battle-charge[.]com
stone-guardian[.]github[.]io
deadlegacy[.]org
articpunkbeta[.]github[.]io
trailofnanook[.]net
play-silt[.]games
www[.]siltproject[.]xyz
flstudiocrack[.]fr
moveworld[.]netlify[.]app
worldofsymphony[.]net
mythic-guardian[.]web[.]app
nobodysleft[.]netlify[.]app
weavergames[.]xyz
abyssgame[.]net
akatorii[.]github[.]io
lumnis-games[.]netlify[.]app
epsilone-games[.]com
vaniapunkgames[.]github[.]io
movesoul[.]aliyazici1[.]repl[.]co
skydaysn[.]netlify[.]app
nitro-generator[.]inovaperf[.]me
movesoul[.]aliyzc1[.]repl[.]co
voidospace[.]netlify[.]app
unturned[.]fr
homura-studio[.]com
adventureofpokemon[.]000webhostapp[.]com
dualcorps[.]fr
legacysurvival[.]fr
survival-machine[.]tk
Домены, связанные с Epsilon C2:
api.epsilon1337[.]com
wdb[.]life
panelweb[.]equi-hosting[.]fr
plesk[.]equi-hosting[.]fr
whoevenareyou[.]equi-hosting[.]fr
Список криптокошельков, связанных с Epsilon Group:
BTC : bc1q9l8p3dzkmdts3272q4tp6frwhtwmuqkg0czcea
ETH : 0x4d9733a6ad7D595A15Cfd9bBc76C91A5aF2F4936
LTC : LQNhcBYUj2i6ui6LJ6BrLA2uxjhqsphfwg
TRON : TA3fa9sdBm7dkTUsWPECYEAmbUsMchLDzL
USDT : 0x4d9733a6ad7D595A15Cfd9bBc76C91A5aF2F4936
SOLANA : D3TQSDCtYJayew8c7o4AJBrfnHsvpkGsAHjQKaLtx8PL
MONERO : 41xfrpuMUtecVTQxKtRnB9i9Xa9XgCmevXBHYg5x9AzaPQH9thpYJS6Lem5mXqoFczHuCj8tvfTtGam9g2V98KwrT1hxmJY
VECHAIN : 0xa7B321B2a93F928183533cA3B2eB7406F3912074
BNB : bnb1q2l88lzue3wm335enst7r6p05ap9098kwvache
XRP : rMbAvDzBsn28QjDMQ4LJZA9TmznbrUS5kJ
USDC : 0x4d9733a6ad7D595A15Cfd9bBc76C91A5aF2F4936
ADA : addr1q8azmdthp8slevt7rlgryhfm0hsdj2jsc5xx9a2plsskqf069k6hwz0pljchu87sxfwnkl0qmy49p3gvvt65rlppvqjs47k5w5
AVAX : 0x4d9733a6ad7D595A15Cfd9bBc76C91A5aF2F4936
DOGECOIN : DKXXuuZiAXFNZkHV2SwwCCfoXh1xui98uz
POLKADOT : 15TEvAaqkj2WJWxziBZxivKfydy3VgbDh6oQ9fu5LkpGboCa
POLYGON : 0x4d9733a6ad7D595A15Cfd9bBc76C91A5aF2F4936
ATOM : cosmos1n42karps88yd9j60nw62cedfa8gw37g6uld9xj
ALGO : POMUSKXL4AIEQLSHWQRIH3QWNSXXIZSTY5QOH7MY47PRBLALE47YKVCHXM
TEZOS : tz1SnCBs6EHGCg7oqq1xh5tSHAbTfpLbsrVj
* Заблокирован в РФ.