Архив новостей

Гидра в нокдауне

На прошлой неделе замолкли командные серверы Mega-D — одного из крупных ботнетов, преимущественно используемых для рассылки спама. Результат не заставил себя ждать: за несколько дней потоки «мусорных» сообщений, генерируемых его спамботами, практически иссякли.

Операция была спланирована и координировалась FireEye — небольшой калифорнийской компанией, специализирующейся на защите от угроз «нулевого дня». Согласованность действий экспертов, интернет-провайдеров, регистраторов и администраторов реестров позволила за сутки нейтрализовать не только ключевые центры управления ботнетом, но и все резервные механизмы его восстановления.

Активность Mega-D, он же Ozdok, стала особо заметной с начала прошлого года, когда его вклад в общий спам-трафик вырос до трети. Его ресурсы использовала также одиозная спамерская группировка Herbal King. С прекращением деятельности хостинг-провайдера McColo многие управляющие серверы ботнета оказались отрезанными от Сети. С тех пор инфраструктура Mega-D претерпела ряд модификаций, позволяющих быстро восстановить управление в аналогичной ситуации. По оценке M86 Security, в последнее время этот ботнет ответственен за 4,5% спам-трафика.

Последние несколько месяцев 8 из 10 управляющих серверов Mega-D хостятся в США. Локализация центров управления осуществляется также с помощью резервного списка доменных имен и списка специализированных DNS-серверов, которыми снабжено большинство ботов. Последним нововведением является алгоритм генерации доменов, который может воспроизводить одно имя в сутки. Наконец, операторы Ozdok (в классификации «Лаборатории Касперского» — Trojan.Win32.Pakes), как и большинства современных ботов, всегда могут воспользоваться услугами родственных группировок, которые будут загружать его компоненты с помощью своих зловредов.

В настоящее время активны только 4 из 16 IP-адресов и 10 из 45 доменов, задействованных в управлении ботнетом. Все домены из постоянного списка, которые не успели зарегистрировать злоумышленники, включая сгенерированные алгоритмом, оформила на себя FireEye. Эксперты насчитали около 265 тыс. «осиротевших» ботов, каждый из которых, по свидетельству M86 Security, способен рассылать до 15 тыс. сообщений в сутки. Как долго будет продолжаться противостояние, покажет время.

Гидра в нокдауне

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Техники, тактики и процедуры атак на промышленные компании

В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике