Китайский национальный центр информации и обмена по сетевым и информационным угрозам (CNCERT) через свои вспомогательные организации выявил и опубликовал данные о серии зарубежных вредоносных веб-адресов и IP-адресов. Согласно официальному сообщению, зарубежные хакерские группы активно используют эти ресурсы для проведения постоянных кибератак как против Китая, так и против других стран. Все идентифицированные адреса тесно связаны с конкретными троянскими программами или их серверами управления и контроля (C2, Command and Control). Типы атак включают создание ботнетов и эксплуатацию бэкдоров (задних дверей), что представляет серьезную угрозу для китайских организаций и пользователей интернета.
Описание
География происхождения этих вредоносных ресурсов охватывает несколько стран: США, Канаду, Великобританию, Германию, Нидерланды, Украину, Бразилию и Вьетнам. Эксперты выделили десять ключевых угроз, каждая из которых обладает уникальными характеристиками и целевыми возможностями.
Разнообразие угроз: от ботнетов до многофункциональных троянов
Среди выявленных угроз значительную часть составляют ботнеты, предназначенные для проведения DDoS-атак (распределенных атак на отказ в обслуживании). Например, ресурс "telnet.icealeximino.live" (США) ассоциируется с ботнетом V3G4Bot, вариантом печально известного Mirai. Этот ботнет специализируется на атаке устройств Linux и IoT (Интернета вещей), используя уязвимости нулевого дня и подбор слабых паролей для распространения. После заражения устройства устанавливают связь с C2-сервером и по команде злоумышленников обрушивают мощные DDoS-атаки на целевые ресурсы, что может привести к масштабным сетевым сбоям.
Другие ботнеты, такие как Mirai ("103.136.41.159", Нидерланды), Gafgyt ("151.243.109.160", Нидерланды), CondiBot ("mrsus.ddns.net", Украина) и SoftBot ("cvawrs.duckdns.org", Вьетнам), также нацелены на IoT-инфраструктуру. CondiBot, в частности, использует уязвимость CVE-2023-1389 в маршрутизаторах TP-Link для заражения, а его услуги по аренде для DDoS-атак рекламируются в открытом Telegram-канале. SoftBot примечателен своей кроссплатформенностью и способностью генерировать десять различных типов DDoS-атак.
Отдельную категорию представляют собой многофункциональные бэкдоры, предназначенные для скрытного удаленного управления и кражи данных. Адреса "nj5056ja.duckdns.org" (Канада) и "xerecanega.ddns.net" (Бразилия) связаны с трояном удаленного доступа (RAT, Remote Access Trojan) NjRAT, написанным на C#. Он предоставляет злоумышленникам обширный контроль над зараженной системой: от записи нажатий клавиш и кражи паролей до управления файлами, процессами и даже удаленной активации веб-камеры.
Аналогичными возможностями обладают и другие выявленные RAT. RemCos ("dinero26.duckdns.org", Великобритания) и AsyncRAT ("coomm.servebbs.net", Германия) также фокусируются на сборе конфиденциальной информации и удаленном контроле. Особую опасность представляет Xworm ("sedef3.duckdns.org", Нидерланды) - чрезвычайно сложный бэкдор, который помимо стандартных функций шпионажа включает модули для операций с программами-вымогателями (ransomware), скрытого RDP-доступа и даже возможность самоуничтожения.
Рекомендации по обнаружению и противодействию
CNCERT предлагает организациям ряд практических шагов для выявления потенциальных инцидентов. Во-первых, необходим тщательный анализ журналов браузеров, сетевого трафика и DNS-запросов на предмет обращений к указанным вредоносным адресам. Во-вторых, для проактивного мониторинга рекомендуется развертывание систем обнаружения вторжений (IDS, Intrusion Detection System) для анализа сетевого трафика и отслеживания подозрительной активности. В-третьих, в случае подтверждения атаки на конкретное устройство критически важно провести его детальный цифровой анализ для сбора улик и понимания вектора атаки.
Для эффективного противодействия эксперты настоятельно рекомендуют проявлять повышенную осторожность при работе с файлами и ссылками из социальных сетей или электронной почты, особенно из непроверенных источников. Крайне важно своевременно обновлять правила в системах защиты, таких как межсетевые экраны и решения на основе угрозовых индикаторов (Threat Intelligence), чтобы блокировать доступ к выявленным вредоносным ресурсам. Наконец, при обнаружении компрометации необходимо незамедлительно сообщить об инциденте в правоохранительные органы для проведения расследования и технического анализа.
Раскрытие этой информации подчеркивает глобальный и скоординированный характер современных киберугроз. Сотрудничество между национальными центрами реагирования на киберинциденты (CERT, Computer Emergency Response Team) и обмен угрозовыми данными остаются ключевыми элементами в защите цифрового пространства.
Индикаторы компрометации
IPv4
- 103.136.41.159
- 104.250.167.52
- 151.243.109.160
- 160.187.246.23
- 185.196.20.150
- 186.192.123.40
- 188.89.182.68
- 192.159.99.171
- 46.151.182.4
- 51.81.255.132
Domains
- coomm.servebbs.net
- cvawrs.duckdns.org
- dinero26.duckdns.org
- mrsus.ddns.net
- nj5056ja.duckdns.org
- sedef3.duckdns.org
- telnet.icealeximino.live
- xerecanega.ddns.net
