Архив новостей

Порочный круг

Исследование, проведенное RSA в связи с попытками изоляции интернет-провайдера Troyak, показало, что он является одним из элементов криминальной инфраструктуры, обеспечивающей «пуленепробиваемый» хостинг владельцам ботнетов ZeuS.

По свидетельству RSA, восточноевропейские цитадели ZeuS, которые пытается повергнуть интернет-сообщество, размещены на Украине, в России, Молдове и Казахстане. Помимо C&C ботнетов упомянутого зловреда, в одиозных сетях хостятся управляющие серверы троянца Gozi, репозитории фишинговой группировки RockPhish, а также продвигаемые в спаме страницы
с эксплойтами, псевдоантивирусами, Backdoor.Win32.Sinowal и зазывной рекламой работодателей, вербующих агентов по отмыванию денег.

В результате двухнедельного противостояния в Рунете 10 хостинг-провайдеров, обслуживавших грозного олимпийца, лишились связи с интернетом, а с ними и половина действующих центров управления ZeuS.

После того, как несколько телеоператоров заблокировали доступ Troyak к Сети, его клиенты занялись поисками других каналов, открывая исследователям карту за картой. Как оказалось, бесперебойную работу центра управления ботнетом обеспечивает разветвленная система маршрутизации трафика. Хостинг-провайдеры, давшие приют командным серверам ZeuS, осуществляют выход в интернет через ряд маскировочных сервисов, подобных Troyak. Эти транзитные сети взаимосвязаны, и каждая из них пользуется услугами нескольких легальных интернет-провайдеров. Таким образом, при сбое одного или нескольких элементов инфраструктуры у владельца «бронированного» хостинга всегда есть под рукой альтернативный канал.

Порочный круг

Ваш e-mail не будет опубликован.

 

Отчеты

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике