Инциденты

Microsoft заблокировал 22 домена провайдера NO-IP, сорвав APT-операции киберпреступников

NO-IP – это один из многих провайдеров динамических DNS, с помощью которых можно бесплатно регистрировать поддомены в таких популярных доменах, как servepics.com и servebeer.com. В течение долгого времени это был любимый метод киберпреступников, которым нужно было без лишних проблем зарегистрировать поддомен для обновления имен хостов, чтобы контролировать вредоносные импланты на компьютерах-жертвах. Вчера Microsoft предпринял шаги против NO-IP и наложил арест на 22 домена, принадлежавших этой компании. Кроме того, Microsoft подал гражданский иск против «Мохамеда Бенабделлы и Насера Аль Мутаири, а также против американской компании VitalwerksInternetSolutions, LLC, ведущей бизнес под именем No-IP.com, за их участие в создании, контролировании и содействии в заражении миллионов компьютеров вредоносным ПО, из-за чего был нанесен ущерб компании Microsoft, её клиентам и в целом общественности».

Интересно, что Microsoft выделил два конкретных семейства зловредов: «Для заражения невинных жертв вредоносными программами семейств Bladabindi (NJrat) и Jenxcus (NJw0rm)». Заметим, что эти зловреды использовались многими группами киберпреступников и активистов, среди которых была и небезызвестная Сирийская электронная армия (Syrian Electronic Army), для выполнения атак на пользователей. Подробнее об этих атаках мы напишем в ближайшее время в отдельном блогпосте.

Блокирование этих ресурсов сорвало многие другие APT-операции, в которых использовались ресурсы NO-IP в качестве командной инфраструктуры. Вот их список:

Судя по нашей статистике, отключение так или иначе повлияло на деятельность по крайней мере 25% APT-групп, которые мы отслеживаем. Некоторые из этих хостов ранее использовались в крупных и сложных операциях по кибершпионажу; теперь они все ведут на адрес 204.95.99.59 – по всей видимости, это адрес sinkhole-сервера, установленного Microsoft.

Вот неполный список доменов верхнего уровня, изъятых у Vitalwerks и теперь используемых в DNS-инфраструктуре Microsoft:

  • BOUNCEME.NET
  • MYFTP.BIZ
  • MYVNC.COM
  • NO-IP.BIZ
  • NO-IP.INFO
  • REDIRECTME.NET
  • SERVEBEER.COM
  • SERVEBLOG.NET
  • SERVECOUNTERSTRIKE.COM
  • SERVEGAME.COM
  • SERVEHALFLIFE.COM
  • SERVEHTTP.COM
  • SERVEMP3.COM
  • SERVEPICS.COM
  • SERVEQUAKE.COM
  • SYTES.NET

Тем временем компания NO-IP / Vitalwerks опубликовала онлайн свой ответ:

«По всей видимости, инфраструктура Microsoft не справляется с обработкой миллиардов запросов, поступающих от наших клиентов. Миллионы невинных пользователей испытывают на себе перебои в работе сервисов из-за попыток Microsoft блокировать хосты, которые ассоциируются с действиями нескольких злонамеренных субъектов».

Мы полагаем, что вчерашние события нанесли тяжелый удар по многим киберпреступным и APT-операциям по всему миру.

Надо полагать, что в будущем эти группы будут более осторожны при использовании провайдеров динамических DNS, и при управлении инфраструктурой своих командных серверов будут больше рассчитывать на взломанные веб-сайты и прямые IP-адреса.

Microsoft заблокировал 22 домена провайдера NO-IP, сорвав APT-операции киберпреступников

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике