IBM X-Force отслеживает возможности вредоносного ПО Hive0051 на протяжении последних полутора лет. Российский угрожающий агент внес три ключевых изменения в свои возможности: улучшенный многоканальный подход к DNS-флукингу, обфусцированные многоступенчатые скрипты и использование безфайловых вариантов PowerShell вредоносной программы Gamma.
Стандартный DNS-флукинг, или быстрый флукинг, - это техника, используемая угрожающими субъектами для быстрой ротации инфраструктуры путем регулярной смены IP-адреса, на который указывает их домен C2 в публичных записях DNS. В отличие от традиционной конфигурации DNS-записей, Hive0051 использует для хранения DNS-записей несколько каналов.
В одном из случаев публичные каналы Telegram и сайты Telegraph используются в качестве DNS-серверов и синхронно изменяются вместе с DNS-записями. Это позволяет Hive0051 обращаться к вторичным каналам для разрешения активного в данный момент сервера C2, если домен будет заблокирован через любой из других каналов.
Indicators of Compromise
IPv4
- 194.87.45.133
Domains
- 19decline.ramalla.ru
- 30deplore.trulazek.ru
- 49defensive.barentsot.ru
- 5descendant.remmaoso.ru
- 70defy.trulazek.ru
- 71deliverance.trulazek.ru
- 80delay.dzhabaripa.ru
- 9delivery.vatango.ru
- already39.brudimar.ru
- count41.vasifgo.ru
- courageous72.boskatrem.ru
- dim71.heartbreaking.ru
- false8.gayado.ru
- false92.gayado.ru
- function74.gedimdo.ru
- garibdo.ru
- getfile68.dzhafarho.ru
- goat11.gochagdo.ru
- goat6.valefgo.ru
- intent.performed72.mamduhgo.ru
- send85.sabirpo.ru