Национальный центр мониторинга сетевой и информационной безопасности Китая (CNCERT) опубликовал экстренное предупреждение о масштабной кампании кибератак, инициированной зарубежными хакерскими группами. В ходе совместной работы с техническими партнёрами выявлено десять особо опасных IP-адресов и доменных имён, используемых для создания ботнетов, внедрения шпионских программ и дистанционного контроля над системами. География угрозы охватывает семь стран: США, Нидерланды, Швейцарию, Бельгию, Польшу, ЮАР и Литву, причём наибольшая концентрация вредоносной активности зафиксирована в нидерландском Амстердаме. Атаки нацелены на государственные учреждения, предприятия и рядовых пользователей, эксплуатируя уязвимости в IoT-устройствах и методами социальной инженерии.
Описание
Среди идентифицированных угроз выделяются троянские программы класса Backdoor, такие как Zegost, обнаруженный на американском сервере в Лос-Анджелесе. Этот вредонос маскируется под легитимные файлы (архивы, изображения), а после запуска устанавливает скрытый доступ, позволяя злоумышленникам загружать произвольные программы, собирать конфиденциальные данные и манипулировать процессами системы. Не менее опасны вариации ботнетов Mirai и MooBot, базирующиеся в Нидерландах. Они атакуют сетевые камеры и маршрутизаторы через уязвимости CVE-2022-26258 и CVE-2015-2051, проводя брутфорс-атаки на протоколы Telnet/SSH. Скомпрометированные устройства вовлекаются в DDoS-атаки, способные парализовать интернет-инфраструктуру целых регионов.
Швейцарский сервер в Цюрихе распространяет модификации AsyncRAT - трояна, написанного на C#. Он обладает функционалом кейлоггинга, захвата экрана, кражи паролей и даже скрытого включения веб-камер. Аналогичные возможности демонстрирует NjRAT из Бельгии, который через фишинговые письма внедряется в системы для удалённого управления файлами и выполнения команд. Польские и литовские узлы связаны с новыми штаммами Mirai, а южноафриканские ресурсы эксплуатируют RemCos - инструмент для несанкционированного сбора данных, активный с 2016 года. Все перечисленные угрозы объединяет способность создавать устойчивые каналы связи с командными серверами, обходя стандартные средства защиты.
Для своевременного выявления инцидентов специалисты CNCERT рекомендуют организациям провести аудит сетевой активности. Ключевым этапом является анализ журналов DNS-запросов и сетевого трафика за последние 72 часа с акцентом на соединения с подозрительными доменами вроде emuvuzarern.info или pureee.ydns.eu. Необходимо зафиксировать IP-адреса устройств, инициировавших контакт, и сопутствующие метаданные. Развёртывание систем глубокой инспекции пакетов (DPI) поможет отследить аномалии в коммуникации с блоками типа 196.251.118.12. При обнаружении заражённых узлов требуется их немедленная изоляция и цифровая криминалистика для установления вектора проникновения.
Текущая кампания демонстрирует растущую специализацию киберпреступников на атаках через устройства "умного дома" и промышленные системы, где уровень защиты часто недостаточен. Эксперты прогнозируют эскалацию подобных инцидентов в течение 2024 года и призывают к созданию международных механизмов противодействия. Уже сейчас ущерб от DDoS-атак ботнетов Mirai оценивается в миллионы долларов ежедневно из-за простоев критических сервисов, а утечки данных от троянов-шпионов приводят к компрометации персональной информации миллионов граждан. Только комплексный подход, сочетающий технические меры, законодательные инициативы и повышение киберграмотности, способен нейтрализовать эту транснациональную угрозу.
Индикаторы компрометации
IPv4
- 148.135.120.166
- 176.65.144.139
- 176.65.144.209
- 196.251.115.153
- 196.251.118.12
- 196.251.86.65
- 5.79.71.205
- 51.38.146.208
- 87.121.84.50
- 94.110.99.162
Domains
- emuvuzarern.info
- pureee.ydns.eu
- servicee.kozow.com
- svhostlo.duckdns.org
- syr015.ddns.net
- test.galaxias.cc
- www.ees-ro.com
- xnxx.galaxias.cc
- zrysdxnzmo.antiwifi.cc
