Архив новостей

Гидра в нокдауне

На прошлой неделе замолкли командные серверы Mega-D — одного из крупных ботнетов, преимущественно используемых для рассылки спама. Результат не заставил себя ждать: за несколько дней потоки «мусорных» сообщений, генерируемых его спамботами, практически иссякли.

Операция была спланирована и координировалась FireEye — небольшой калифорнийской компанией, специализирующейся на защите от угроз «нулевого дня». Согласованность действий экспертов, интернет-провайдеров, регистраторов и администраторов реестров позволила за сутки нейтрализовать не только ключевые центры управления ботнетом, но и все резервные механизмы его восстановления.

Активность Mega-D, он же Ozdok, стала особо заметной с начала прошлого года, когда его вклад в общий спам-трафик вырос до трети. Его ресурсы использовала также одиозная спамерская группировка Herbal King. С прекращением деятельности хостинг-провайдера McColo многие управляющие серверы ботнета оказались отрезанными от Сети. С тех пор инфраструктура Mega-D претерпела ряд модификаций, позволяющих быстро восстановить управление в аналогичной ситуации. По оценке M86 Security, в последнее время этот ботнет ответственен за 4,5% спам-трафика.

Последние несколько месяцев 8 из 10 управляющих серверов Mega-D хостятся в США. Локализация центров управления осуществляется также с помощью резервного списка доменных имен и списка специализированных DNS-серверов, которыми снабжено большинство ботов. Последним нововведением является алгоритм генерации доменов, который может воспроизводить одно имя в сутки. Наконец, операторы Ozdok (в классификации «Лаборатории Касперского» — Trojan.Win32.Pakes), как и большинства современных ботов, всегда могут воспользоваться услугами родственных группировок, которые будут загружать его компоненты с помощью своих зловредов.

В настоящее время активны только 4 из 16 IP-адресов и 10 из 45 доменов, задействованных в управлении ботнетом. Все домены из постоянного списка, которые не успели зарегистрировать злоумышленники, включая сгенерированные алгоритмом, оформила на себя FireEye. Эксперты насчитали около 265 тыс. «осиротевших» ботов, каждый из которых, по свидетельству M86 Security, способен рассылать до 15 тыс. сообщений в сутки. Как долго будет продолжаться противостояние, покажет время.

Гидра в нокдауне

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике