29 мая 2024 года Министерство юстиции США опубликовало уведомление, в котором утверждалось, что в результате действий правоохранительных органов был уничтожен "крупнейший ботнет в истории" 911 S5, конфисковано доменное имя и арестован его администратор ЮньХе Ванг. Ванг и его сообщники заражали пользователей, создавая и распространяя бесплатные VPN-программы, содержащие вредоносный код, и продавали доступ к прокси-сети зараженных устройств на жилом прокси-сервисе 911 S5, который использовался в качестве прокси для 911 S5. Ванг и его сообщники заражали пользователей, создавая и распространяя бесплатные VPN-программы, содержащие вредоносный код, и продавали доступ к прокси-сети зараженных устройств на бытовом прокси-сервисе 911 S5.
911 S5 Botnet
Согласно анализу 360 Threat Intelligence Centre, ботнет 911 S5 начал свою работу в 2014 году и объединял 19 миллионов IP-адресов в разных странах. В июле 2022 года сервис закрылся, но возобновил свою деятельность в октябре 2023 года под новым псевдонимом CloudRouter. К маю 2024 года он был окончательно ликвидирован правоохранительными органами. Продаваемые 911S5 прокси-сервисы были связаны с зараженными устройствами, на которых запускался вредоносный код, предоставляющий прокси-услуги. В анализе также указывается, что CloudRouter имел общую инфраструктуру с другими бесплатными VPN-программами, такими как ProxyGate, MaskVPN, DewVPN и ShineVPN. Кодировка и структура процессов этих программ сильно похожа на CloudRouter. Кроме того, указывается на сильную корреляцию образцов PaladinVPN и ShineVPN, используемых CloudRouter. Эти данные свидетельствуют о том, что 911S5 и CloudRouter имели общего оператора и используют похожий подход к своей деятельности.
Indicators of Compromise
IPv4
- 103.97.3.19
- 157.240.3.8
- 162.125.1.8
- 162.125.2.3
- 162.125.2.5
- 162.125.6.1
- 162.125.7.1
- 162.125.8.1
- 174.139.8.2
- 185.45.6.57
- 185.45.7.97
- 31.13.106.4
- 31.13.64.7
- 31.13.67.33
- 31.13.69.33
- 31.13.69.86
- 31.13.70.13
- 31.13.70.33
- 31.13.71.19
- 31.13.73.9
- 31.13.74.1
- 31.13.75.12
- 31.13.75.5
- 31.13.80.1
- 31.13.81.4
- 31.13.83.2
- 31.13.84.1
- 31.13.84.2
- 31.13.84.8
- 31.13.92.5
- 31.13.94.7
- 34.102.136.180
- 34.98.99.30
- 98.126.28.10
Domains
- 911.gg
- 911.re
- 911s5.com
- 911s5.net
- 911s5.org
- cloudrouter.io
- cloudrouter.pro
- cloudrouting.net
- d2mxl8paokc6p3.cloudfront.net
- d32cjgd79n340u.cloudfront.net
- dewvpn.cc
- dewvpn.com
- dewvpn.net
- dewvpn.org
- dton09jc5wlle.cloudfront.net
- eu.911.gg
- login.911s5.net
- maskvpn.cc
- maskvpn.org
- neibu.911s5.net
- net.dewvpn.com
- paladinvpn.com
- paladinvpn.org
- proxygate.net
- reachfresh.com
- shieldvpn.org
- shinevpn.co
- shinevpn.com
- shinevpn.net
- shinevpn.org
- updatepanel.cc
- upgradeportal.org
- user.dewvpn.com
- userip.911s5.net
- www.911.gg
- www.911s5.com
- www.dewvpn.com
URLs
- https://d1f64skmkl5mzn.cloudfront.net/paladinvpn.exe
- https://d2akdl6qfujxx9.cloudfront.net/paladinvpn-setup.exe
- https://d3d5qtzjda7oy3.cloudfront.net/paladinvpn-setup.exe
- https://d87hw114pqw7b.cloudfront.net/dewvpn-setup.exe
- https://dton09jc5w11e.cloudfront.net/paladinvpn.exe
MD5
- 026dc4084820a013ec1537ba6bab0d44
- 1875e43e224862cbf60bffc51c96cf1a
- 25e627a9a583f08ffbbd60cbc276f87e
- 3a6995457c832ecf79be7b941bfa4d91
- 3e68dbd53c2df48e00f830243b35cd84
- 3f056ee26ac0a3d3bf0bb4570887c925
- 6db6b7b99a0e87f142a56e256a62ef82
- d6d577fc72559cfb133b4c02c21dc7c0
- fc8fcf280914e20c93939ed155a68c53
- fd72d909e280110cd6ccbae8e86d29e4