Китайский центр кибербезопасности предупредил об активизации атак с зарубежных вредоносных ресурсов

Эксперты центра, действуя через свои опорные организации, идентифицировали и каталогизировали десять ключевых угроз. География размещения этих вредоносных серверов охватывает девять стран, включая США, Великобританию, Германию, Нидерланды, Хорватию, Кипр, Бразилию, Турцию и Болгарию. Угрозы разделены на две основные категории: создание ботнетов и использование бэкдоров (скрытых методов получения доступа).

Среди наиболее опасных образцов выделяются новые варианты известных семейств вредоносного программного обеспечения (ПО). В частности, обнаружены ресурсы, управляющие троянами RemCos и DarkKomet, которые предоставляют злоумышленникам полный удаленный контроль над зараженными компьютерами. Эти программы способны к кейлоггингу (фиксации нажатий клавиш), захвату скриншотов, записи звука и видео с веб-камер, а также краже учетных данных. Для обеспечения персистентности (устойчивого присутствия в системе) зловреды прописываются в автозагрузку через планировщик задач или системный реестр.

Параллельно активизировались угрозы, нацеленные на интернет вещей (IoT). Центр сообщает о нескольких серверах, связанных с ботнетами Mirai, MooBot и Gafgyt. Данные сети формируются путем взлома сетевых камер, маршрутизаторов и другого оборудования через уязвимости или метод грубого подбора паролей (brute-force). Собранные в сеть устройства затем используются для масштабных DDoS-атак (распределенных атак на отказ в обслуживании), которые могут парализовать работу целых сегментов интернета или критической инфраструктуры.

Особенностью текущей кампании является использование злоумышленниками динамических DNS-сервисов, таких как duckdns.org и bounceme.net, что позволяет им быстро менять IP-адреса управляющих серверов, усложняя их блокировку. Некоторые троянцы, например, вариант семейства Tasker, дополнительно используют сеть Tor для анонимного подключения к командным центрам, что серьезно затрудняет их отслеживание.

CNCERT предоставил организациям и сетевым администраторам конкретные рекомендации по обнаружению и нейтрализации угроз. В первую очередь, специалистам советуют провести аудит журналов сетевых устройств и DNS-запросов на предмет обращений к указанным доменам и IP-адресам. Для мониторинга трафика рекомендуется задействовать системы обнаружения вторжений (IDS) и предотвращения вторжений (IPS). В случае выявления компрометации оборудования необходимо немедленно изолировать его от сети для проведения криминалистического анализа.

В качестве превентивных мер центр настойчиво рекомендует обновить правила блокировки в межсетевых экранах (брандмауэрах) и системах защиты на периметре сети, добавив в черные списки все опубликованные индикаторы компрометации (IoC). Крайне важно соблюдать базовую кибергигиену: не открывать вложения и ссылки в письмах от неизвестных отправителей и использовать надежные, уникальные пароли для доступа к сетевым устройствам. Все случаи предполагаемых атак необходимо незамедлительно сообщать в правоохранительные органы для проведения оперативного расследования и технической атрибуции атак.

Данное предупреждение подчеркивает растущую сложность и транснациональный характер современных киберугроз. Координация между национальными центрами реагирования на компьютерные инциденты (CERT) и обмен актуальной тактикой, техниками и процедурами (TTP) злоумышленников, например, в рамках фреймворка MITRE ATT&CK, становятся ключевыми элементами глобальной киберобороны.

IPv4

• 107.175.148.116
• 158.94.209.205
• 191.19.217.13
• 194.30.129.226
• 213.238.187.95
• 41.216.189.110
• 45.88.186.251
• 45.95.169.105
• 85.17.31.82
• 91.92.243.128

Domains

• antizerolant-monogevudom.info
• danielaespeleta708090.duckdns.org
• godwilling.duckdns.org
• ihatefaggots.cc
• ratmainz.ink
• sophos1997.camdvr.org
• vmr3b.bounceme.net
• weefaf.duckdns.org