Владельцы Black Sprut
Deanon ClubV4 - https://t.me/+6tLXOKJV9z9mMzdiКолеснев Богдан askold.monarkhov@gmail.com www.youtube.com/c/ASKOLDEX/ github.com/askoldex t.me/monarkhov vk.com/telebots vk.com/a.monarkhov vk.com/safetystudio monarkhov.pro www.dideo.ir/v/yt/Ii4Ncv6NyzU Telegram: @monarkhov https://www.facebook.com/monarkhov +380972095301 (whois) https://twitter.com/askoldex https://www.work.ua/ru/resumes/5370307/
Дырявин Александр Dyriavin@gmail.com https://www.linkedin.com/in/dyriavin/ https://github.com/AlexanderDyriavin https://twitter.com/adyriavin https://free-lance.ua/users/dyriavin/ Телефон +380636735773 телеграм @dyriavin vk.com/id409148919
Эти личности всплыли ещё при Hydra...
На страницах /exchange и /product/251569 (там был обменник) был обнаружен закомментированный javascript код:
(счетчик и аналитика пользовательской активности «Countly»))
Countly.url = 'https://countly.z.team'
Countly.url = 'https://194.187.249.115'
Домен z.team имеет поддомены:
45.32.237.100 bitpayer.z.team
195.123.246.18 bkn.bot.z.team
195.123.246.18 bknkg.bot.z.team
195.123.246.18 bknkz.bot.z.team
104.27.167.223 countly.z.team
104.27.166.223 cp.z.team
172.67.165.198 cp3.z.team
104.27.166.223 desk.z.team
104.27.167.223 erp.z.team
104.27.166.223 erp2.z.team
172.67.165.198 обменник.z.team
95.179.191.148 git.z.team
104.27.166.223 hrbot.z.team
195.123.233.189 imap.z.team
108.61.117.210 keitaro.z.team
195.123.233.189 mail.z.team
172.67.165.198 mmnge.bot.z.team
104.27.166.223 p1qiwi.z.team
172.67.165.198 p1tele2.z.team
104.27.166.223 p2qiwi.z.team
209.250.243.145 panel.z.team
159.89.175.80 parser.z.team
104.27.167.223 pma.z.team
104.27.167.223 q1p.z.team
104.27.166.223 qiwi.z.team
195.123.246.18 qp.hide.z.team
104.27.167.223 qp.z.team
195.123.246.18 rahkz.bot.z.team
195.123.233.189 smtp.z.team
104.27.166.223 supp1.z.team
104.27.167.223 supp2.z.team
104.27.166.223 supp3.z.team
104.27.166.223 supp4.z.team
45.32.135.107 tb.z.team
104.27.166.223 testerp.z.team
172.67.165.198 trigonastik.z.team
104.27.166.223 ts.z.team
104.27.166.223 viktor.z.team
104.27.167.223 viktorius.z.team
172.67.165.198 vs1bot.z.team
172.67.165.198 vs2bot.z.team
172.67.165.198 vs3bot.z.team
172.67.165.198 vsqp2.z.team
104.27.166.223 vsqp3.z.team
104.27.166.223 wk.z.team
45.32.73.208 z.team
Установлены пользователи поддомена git.z.team:
name Administrator username":"root"
name GitLab Support Bot username":"support-bot"
name system_admin username":"system_admin"
name Ghost User username":"ghost"
name Alexander Dyriavin username":"dyriavin"
name trigonastik username":"trigonastik"
name Floppy username":"Floppy"
name demo username":"demo"
На домене qp.z.team (и ряде других на домене 2го уровня z.team) обнаружен файл composer.lock следующего содержания:
{ "_readme": [ "This file locks the dependencies of your project to a known state", "Read more about it at https://getcomposer.org/doc/01-basic-usage.md#installing-dependencies", "This file is @generated automatically" ], "content-hash": "a9ce7b1e7554dc270e3a2777841020b6", "packages": [ { "name": "gabordemooij/redbean", "version": "dev-master", "source": { "type": "git", "url": "https://github.com/gabordemooij/redbean.git", "reference": "cf4f5ecf7daef98145bef8ca2c5c93f9b516be86" }, "dist": { "type": "zip", "url": "https://api.github.com/repos/gabordemooij/redbean/zipball/cf4f5ecf7daef98145bef8ca2c5c93f9b516be86", "reference": "cf4f5ecf7daef98145bef8ca2c5c93f9b516be86", "shasum": "" }, "require": { "php": ">=5.3.4" }, "type": "library", "autoload": { "psr-4": { "RedBeanPHP\\": "RedBeanPHP" } }, "notification-url": "https://packagist.org/downloads/", "license": [ "BSD-3-Clause" ], "authors": [ { "name": "Gabor de Mooij", "email": "gabor@redbeanphp.com", "homepage": "https://redbeanphp.com" } ], "description": "RedBeanPHP ORM", "homepage": "https://redbeanphp.com/", "keywords": [ "orm" ], "time": "2019-04-30T21:14:00+00:00" }, { "name": "monarkhov/telebot", "version": "dev-master", "source": { "type": "git", "url": "https://github.com/monarkhov/Telebot.git", "reference": "445921e726b48483e66183fa5e6b0c97a9bc4a12" }, "dist": { "type": "zip", "url": "https://api.github.com/repos/monarkhov/Telebot/zipball/445921e726b48483e66183fa5e6b0c97a9bc4a12", "reference": "445921e726b48483e66183fa5e6b0c97a9bc4a12", "shasum": "" }, "require": { "gabordemooij/redbean": "dev-master", "php": ">=7.1.0" }, "type": "library", "autoload": { "psr-4": { "Telebot\\": "src" } }, "notification-url": "https://packagist.org/downloads/", "license": [ "MIT" ], "authors": [ { "name": "Askold Monarkhov", "email": "askold.monarkhov@gmail.com" } ], "description": "Telebot Framework", "keywords": [ "audio", "bot", "files", "php", "stickers", "telebot", "telegram", "video" ], "time": "2019-05-04T16:39:00+00:00" } ], "packages-dev": [], "aliases": [], "minimum-stability": "dev", "stability-flags": { "monarkhov/telebot": 20 }, "prefer-stable": false, "prefer-lowest": false, "platform": [], "platform-dev": [] }
(Не могу отделять всё в правильный формат, тут уж извините)
Самый интересный фрагмент в прошлом отрезке кода:
"authors": [
{
"name": "Askold Monarkhov",
"email": "askold.monarkhov@gmail.com"
}
],
"description": "Telebot Framework",
Аналогичное включение на домене p1tele2.z.team/composer.json
Установлена личность разработчика под псевдонимом «Аскольд Монархов» Github (https://github.com/askoldex/):
Богдан Колеснев в Git Askoldex
Youtube канал Askoldex (https://www.youtube.com/c/ASKOLDEX/):
Интерес представляют ролики с описанием систем: «QIWI панель» и «Tele2 Панель». Назначение описываемых систем очевидно
Страница в социальной сети «Вконтакте» (https://vk.com/askoldex)
Ранее, указанным хуем зарегистрирован домен monarkhov.pro, впоследствии регистрационные данные скрыты, однако, по состоянию на 16.01.2018 они были доступны:
Domain Name: MONARKHOV.PRO Registry Domain ID: D503300000058182940-LRMS Registrar WHOIS Server: Registrar URL: www.tucows.com Updated Date: Creation Date: 2018-01-15T20:31:41Z Registry Expiry Date: 2019-01-15T20:31:41Z Registrar Registration Expiration Date: Registrar: Tucows Domains Inc. Registrar IANA ID: 69 Registrar Abuse Contact Email: Registrar Abuse Contact Phone: Reseller: Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited Domain Status: addPeriod https://icann.org/epp#addPeriod Registry Registrant ID: C215944145-LRMS Registrant Name: Bogdan Koliesniev Registrant Organization: Private Person Registrant Street: Pereulok Shveinii, 3-1 Registrant City: Zhitomir Registrant State/Province: Zhitomirskaya oblast Registrant Postal Code: 10028 Registrant Country: WF Registrant Phone: +380.972095301 Registrant Phone Ext: Registrant Fax: Registrant Fax Ext: Registrant Email: askold.monarkhov@gmail.com Registry Admin ID: C215944146-LRMS Admin Name: Bogdan Koliesniev Admin Organization: Private Person Admin Street: Pereulok Shveinii, 3-1 Admin City: Zhitomir Admin State/Province: Zhitomirskaya oblast Admin Postal Code: 10028 Admin Country: WF Admin Phone: +380.972095301 Admin Phone Ext: Admin Fax: Admin Fax Ext: Admin Email: askold.monarkhov@gmail.com Registry Tech ID: C215944148-LRMS Tech Name: Bogdan Koliesniev Tech Organization: Private Person Tech Street: Pereulok Shveinii, 3-1 Tech City: Zhitomir Tech State/Province: Zhitomirskaya oblast Tech Postal Code: 10028 Tech Country: WF Tech Phone: +380.972095301 Tech Email: askold.monarkhov@gmail.com Registry Billing ID: C215944147-LRMS Billing Name: Bogdan Koliesniev Billing Organization: Private Person Billing Street: Pereulok Shveinii, 3-1 Billing City: Zhitomir Billing State/Province: Zhitomirskaya oblast Billing Postal Code: 10028 Billing Country: WF Billing Phone: +380.972095301 Billing Phone Ext: Billing Fax: Billing Fax Ext: Billing Email: askold.monarkhov@gmail.com Name Server: NS1.BEGET.COM Name Server: NS2.BEGET.COM DNSSEC: unsigned URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
На ip адресе 194.187.249.115 (вторая вставка countly счетчика на Hydra) находится сайт автопродаж pasaran.cc
Альтернативные домены магазина:
Зеркало сайта: pasaremos.net
TOR зеркало сайта: pasaranyq5ambvvh.onion
С доменным именем pasaran.cc по данным доменного регистратора ассоциирован адрес электронной почты ilonmaster@protonmail.com
Также на ip адресе 194.187.249.115 размещен сервис anopic.us
Сайт автопродаж: pasaran активно рекламит мессенджер LurkChat и рекламится внутри этого мессенджера, предлагая его как альтернативу Телеграм. Рассмотрим подробнее данный мессенджер
Результаты строгого поиска с указанием действующих ботов, созданных с целью распространения ПАВ
Так, например бот URAL2
Указан сайт xlab.tv, контакты внутри мессенджера. При изучении ресурса xlab.tv получены данные по домену, в частности адрес почты администратора домена kurmensed@gmail.com, который ассоциирован с анонимным хостингом изображений anopic.us и сервисом одноразовых записок timenote.us
Связь с anopic.us и timenote.us.
Связь с xlab.tv
В части ресурса xlab.tv, установлено, что на страницах имеется уникальный код, например функция: function getAreaListOfTheCity.
Поиск строгих совпадений по исходному коду дает следующий результат:
5 web pages in 0.00 s.
vd24.biz
legkrim.com
legvolga.com
xlab.uno
iskylab.net
Ресурс xlab.uno ассоциирован с адресом irikqz@gmail.com
Domain Name: xlab.uno Registry Domain ID: DB8BB90E2172840C28869BA2177B16084-NSR Registrar WHOIS Server: whois.1api.net Registrar URL: www.1api.net Updated Date: 2018-04-28T06:45:38Z Creation Date: 2018-04-28T06:45:35Z Registry Expiry Date: 2019-04-28T06:45:35Z Registrar: 1API GmbH Registrar IANA ID: 1387 Registrar Abuse Contact Email: abuse@1api.net Registrar Abuse Contact Phone: +49.68416984200 Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited Domain Status: addPeriod https://icann.org/epp#addPeriod Registry Registrant ID: CD2C98E6813414022A415A67717963BBC-NSR Registrant Name: Jeck Kruger Registrant Organization: Jeck Kruger Registrant Street: Bezirk Schwyz Registrant Street: Registrant Street: Registrant City: Schwyz Registrant State/Province: Schwyz Registrant Postal Code: 6430 Registrant Country: SZ Registrant Phone: +41.36688958531 Registrant Phone Ext: Registrant Fax: +41.36688958531 Registrant Fax Ext: Registrant Email: irikqz@gmail.com Registry Admin ID: CD2C98E6813414022A415A67717963BBC-NSR Admin Name: Jeck Kruger Admin Organization: Jeck Kruger Admin Street: Bezirk Schwyz Admin Street: Admin Street: Admin City: Schwyz Admin State/Province: Schwyz Admin Postal Code: 6430 Admin Country: SZ Admin Phone: +41.36688958531 Admin Phone Ext: Admin Fax: +41.36688958531 Admin Fax Ext: Admin Email: irikqz@gmail.com Registry Tech ID: CD2C98E6813414022A415A67717963BBC-NSR Tech Name: Jeck Kruger Tech Organization: Jeck Kruger Tech Street: Bezirk Schwyz Tech Street: Tech Street: Tech City: Schwyz Tech State/Province: Schwyz Tech Postal Code: 6430 Tech Country: SZ Tech Phone: +41.36688958531 Tech Phone Ext: Tech Fax: +41.36688958531 Tech Fax Ext: Tech Email: irikqz@gmail.com Name Server: david.ns.cloudflare.com Name Server: chloe.ns.cloudflare.com DNSSEC: unsigned URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
Доменные имена, ассоциированные с irikqz@gmail.com:
insculpo.net
insculpo.com
insculpo.info
insculpo.biz
sjob.info
Ресурс insculpo.net продвигает обменник exactly.vip
На ресурсе exactly.vip доступны файлы git, в том числе .git/config
Содержимое файла конфигурации:
[core] repositoryformatversion = 0 filemode = true bare = false logallrefupdates = true [remote "origin"] url = http://jelink.net/olegdev/exactly.git fetch = +refs/heads/*:refs/remotes/origin/* [branch "master"] remote = origin merge = refs/heads/master
На домене jelink.net установлен git, получен доступ, установлены пользователи:
"name":"Administrator","username":"BlackF234USON9la7s" "name":"trigonastik","username":"trigonastik"
"name":"Ilonmaster","username":"Ilonmaster"
"name":"Galust","username":"galust"
"name":"olegdev","username":"olegdev"
"name":"Insculpo Dev","username":"insculpo"
"name":"Alex","username":"drthY"
"name":"GitLab Alert Bot","username":"alert-bot"
"name":"SadLary","username":"Sterling"
LurkChat - он же fugweb ранее
xjob.info и lurkchat.org на одном ip.
Интересно, кто пригласил xlab на форум legal - LoveGeneration (главный админ)
Еще странное совпадение. Hostname Hydra на одном сайте с хостингом картинок anopic. Второй ip очевидно неверно настроенный прокси (отдает только надпись "Домен работает !!!")
Одинаковые никнеймы в git-ах, общие ip сервисов, разработка инфраструктуры полного цикла для сбыта наркотиков от мессенджера до моментального магазина. Примем во внимание ошибку админов гидры, которую они к их чести очень быстро спрятали, но все же, а так же объем бизнеса xlab (оптовые продажи) и их влиятельные связи в «индустрии» - приглашение от Lovegen
В итоге: Группой разрабатывалось:
социальная сеть (Insculpo)
месенджер (LurkChat)
финтех инструменты
системы агрегации магазинов запрещенных веществ