Архив новостей

«Российский след» Kelihos

Microsoft внесла изменения в исковые претензии к ботоводам Kelihos, добавив свидетельства против еще одного ответчика ― россиянина Андрея Сабельникова.

По признанию экспертов, они вышли на это имя в результате анализа вредоносного кода. Новые находки позволили им заключить, что Сабельников принимал участие в создании зловреда и ботнета на его основе. Россиянин также регистрировал адреса, которые впоследствии использовались для управления Kelihos, в том числе 3,7 тыс. поддоменов в зоне cz.cc, вверенной dotFREE Group. Эта компания и ее владелец, Доминик Александер Пьятти (Dominique Alexander Piatti), фигурировали в качестве ответчиков в первоначальном варианте искового заявления Microsoft, однако при более тщательном расследовании Пьятти оказался обычным поставщиком веб-услуг, и обвинения с него были сняты.

Появление нового имени, которое Microsoft связывает с деятельностью Kelihos, породило волну журналистских расследований. В обновленном иске указано, что Сабельников ― выпускник питерского университета по специальности «вычислительные системы и программирование». В настоящее время он живет в Санкт-Петербурге и работает как фрилансер в консалтинговой компании, занимающейся также разработкой софта, а ранее трудился в штате некоего поставщика защитных решений. Небезызвестный Брайан Кребс изучил профиль Сабельникова на LinkedIn и установил, что нынешним местом его работы является Teknavo, создающая приложения для финансовых организаций, а прежним ― Agnitum. Репортеры CNews дополнили этот послужной список еще двумя именами: R-Tools и Returnil, однако отметили, что Сабельников уже удалил с LinkedIn все данные о своей трудовой карьере.

Ботнет Kelihos, он же Hlux, был обезврежен прошлой осенью стараниями Microsoft, ЛК и Kyrus. Злоумышленники использовали его для рассылки спама, кражи пользовательских данных, проведения DDoS-атак и многих других видов криминальной деятельности. Подменив управляющий центр ботнета, ЛК насчитала в его составе свыше 49 тыс. уникальных IP-адресов. В настоящее время Kelihos неактивен, но истребить всю инфекцию на местах пока не удалось.

«Российский след» Kelihos

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике