Национальный центр оповещения о киберугрозах Китая опубликовал экстренное предупреждение о выявлении 10 ключевых вредоносных интернет-адресов и IP, используемых зарубежными хакерскими группировками для проведения скоординированных атак на информационную инфраструктуру страны. Согласно официальному заявлению, все идентифицированные ресурсы связаны с троянскими программами различных семейств и используются для создания ботнетов, удаленного управления системами и организации DDoS-атак.
Описание
География происхождения угроз охватывает девять стран, включая США, Германию, Канаду и Турцию. Специалисты центра подчеркивают, что атаки носят продолжительный характер и представляют серьезную опасность как для государственных учреждений, так и для частных пользователей. Среди идентифицированных угроз выделяются два основных типа вредоносных программ: ботнет-сети для организации распределенных атак отказа в обслуживании и бэкдоры для несанкционированного доступа к системам.
Анализ угроз показал наличие трех ключевых ботнет-семейств. Адрес 205.185.115[.]242 из Лас-Вегаса связан с вредоносной программой Gafgyt, специализирующейся на компрометации IoT-устройств через уязвимости в протоколах Telnet и SSH. Аналогичную функциональность демонстрируют образцы Mirai, обнаруженные на ресурсах в Германии (trannynet.adgods[.]uk), Индонезии (103.181.182[.]245) и Латвии (erfffxz.bounceme[.]net). Эти программы осуществляют сканирование сети для поиска уязвимых сетевых камер, маршрутизаторов и другого сетевого оборудования, формируя из них масштабные ботнет-сети.
Особую озабоченность экспертов вызывают программы удаленного доступа, обнаруженные на серверах в США, Канаде, Бразилии, Турции и Марокко. Американский домен rzchi.duckdns.org распространяет RemCos - многофункциональный инструмент для удаленного администрирования, способный осуществлять кейлоггинг, перехват экрана и кражу учетных данных. Канадский и бразильский серверы используют модификации трояна NjRAT с расширенным набором функций, включая управление файлами, захват видео с веб-камер и выполнение произвольных команд.
Турецкий ресурс bmtxf0usc.localto[.]net связан с бэкдором DarkKomet, предоставляющим злоумышленникам полный контроль над зараженной системой через графический интерфейс. Марокканский сервер распространяет AsyncRAT - еще одну модификацию трояна удаленного доступа, демонстрирующую активность против систем в социальной сфере.
Для противодействия угрозам китайские специалисты рекомендуют организациям провести тщательный анализ сетевого трафика и DNS-запросов на предмет соединений с указанными адресами. Предлагается развернуть системы обнаружения и предотвращения вторжений для мониторинга подозрительной активности. При выявлении компрометированных устройств необходимо выполнить их полный анализ.
Ключевые рекомендации по защите включают повышение осведомленности пользователей о фишинговых рассылках, регулярное обновление правил фильтрации в системах безопасности и обязательное информирование правоохранительных органов о выявленных инцидентах. Эксперты подчеркивают важность оперативного блокирования указанных адресов на уровне сетевых экранов и прокси-серверов для предотвращения утечек конфиденциальной информации.
Публикация такого детализированного отчета свидетельствует о серьезности текущей киберугрозы и необходимости принятия срочных мер защиты. Распространение атак через географически распределенную инфраструктуру осложняет их блокировку и требует международного сотрудничества в области кибербезопасности.
Индикаторы компрометации
IPv4
- 103.181.182.245
- 172.111.162.252
- 177.157.188.182
- 205.185.115.242
- 212.64.215.198
- 23.132.28.196
- 41.216.189.108
- 41.250.136.90
- 66.85.26.200
- 67.159.18.115
Domains
- bmtxf0usc.localto.net
- erfffxz.bounceme.net
- negro07d8090.duckdns.org
- netwoasysn.ddnsgeek.com
- pipeiro.ddns.net
- rzchi.duckdns.org
- trannynet.adgods.uk
