Национальный центр информационного обмена о сетевой и информационной безопасности Китая через свои вспомогательные подразделения обнаружил ряд зарубежных вредоносных (malicious) веб-адресов и IP-адресов. Международные хакерские группировки активно используют эти ресурсы для непрерывных кибератак против Китая и других стран. Все идентифицированные адреса тесно связаны с конкретными троянскими программами или их серверами управления. Типы атак включают создание ботнетов и использование бэкдоров (backdoor), что представляет серьёзную угрозу для китайских интернет-пользователей и организаций. Географическое распределение источников угроз охватывает США, Германию, Нидерланды, Латвию, Турцию, Иран, Южную Корею и Бразилию.
Описание
Среди выявленных угроз особого внимания заслуживает домен station.myvnc[.]com с IP-адресом 97.106.23.197 из американского штата Флорида. Этот ресурс связан с трояном Nanocore, который классифицируется как бэкдор. Злоумышленники используют его для шпионажа и удалённого контроля систем. После заражения устройства злоумышленники получают возможность записи аудио и видео, кейлоггинга (keylogging), сбора учетных данных и личной информации, манипуляции файлами и реестром, а также загрузки и выполнения дополнительного вредоносного ПО. Nanocore поддерживает плагины, расширяющие его функциональность для таких целей, как криптоджекинг (cryptojacking) и атаки программ-вымогателей (ransomware).
Другой значительный угрозой стал адрес jaks.ddns.net с IP 134.209.173[.]227 из Нью-Джерси. Он связан с трояном AsyncRAT, написанным на C#. Его основные возможности включают мониторинг экрана, кейлоггинг, кражу паролей, извлечение файлов, управление процессами, активацию камеры, интерактивную оболочку и доступ к определённым URL. Распространение происходит через съёмные носители и фишинг (phishing). Обнаружены многочисленные варианты этой угрозы, некоторые из которых специализируются на системах жизнеобеспечения.
Из Германии, города Франкфурт-на-Майне, действует домен ilenudavous-monoxoxapal-semimihupution[.]info с IP 178.162.203[.]211. Он используется ботнетом MooBot, вариантом известного ботнета Mirai. Заражение происходит через уязвимости IoT-устройств, включая CVE-2015-2051, CVE-2018-6530, CVE-2022-26258 и CVE-2022-28958. После успешного взлома устройства загружается и выполняется бинарный файл MooBot, формируя ботнет для потенциальных DDoS-атак.
Нидерланды представлены несколькими угрозами. IP-адрес 196.251.115[.]19 из Амстердама связан с ботнетом Gafgyt, который использует протокол IRC и распространяется через эксплуатацию уязвимостей и брутфорс-атаки на Telnet и SSH. Он сканирует сетевые устройства, атакует IP-камеры и маршрутизаторы, формируя ботнеты для масштабных DDoS-атак. Другой голландский ресурс, glad147.ddns[.]net с IP 185.214.10[.]22, также из Амстердама, связан с трояном Quasar. Этот бэкдор на базе .NET Framework предоставляет функции управления файлами, удалённого рабочего стола, кражи паролей и редактирования реестра.
Турецкий IP-адрес 193.111.78[.]190 из города Бурса также связан с ботнетом Gafgyt, действующим по схожей схеме. Из Латвии, города Рига, действует домен p.findmeatthe[.]top с IP 94.140.120[.]193, связанный с оригинальным ботнетом Mirai, который использует различные методы распространения, включая брутфорс.
Иранский домен joker.proxywall.p-e[.]kr с IP 37.49.148[.]60 также идентифицирован как узел ботнета Mirai. Из Южной Кореи, Сеула, действует IP-адрес 116.204.171[.]195, связанный с трояном Farfli. Этот бэкдор распространяется через загрузки, наборы программ и фишинг, позволяя осуществлять удалённый контроль, кейлоггинг, кражу данных и DDoS-атаки.
Бразильский домен xwormkdv.ddns.net с IP 189.6.66[.]135 из Бразилиа связан с бэкдором DarkKomet. Он предоставляет злоумышленникам графический интерфейс для контроля заражённых систем, модификации настроек, записи с камер и микрофонов, а также выполнения команд с серверов управления.
Центр кибербезопасности рекомендует организациям тщательно проанализировать журналы браузеров, сетевой трафик и DNS-запросы для выявления подключений к указанным адресам. При обнаружении подозрительной активности следует извлечь данные об исходных IP-адресах, устройствах и времени подключения для углублённого анализа. Кроме того, целесообразно развернуть системы обнаружения сетевых аномалий для мониторинга трафика и отслеживания взаимодействий с вредоносными ресурсами. В случае подтверждения компрометации устройства необходимо провести его детальный цифровой форензик.
Для предотвращения инцидентов эксперты советуют проявлять повышенную бдительность при получении файлов и ссылок через социальные платформы и электронную почту, особенно из непроверенных источников. Критически важно своевременно обновлять правила в системах защиты и средствах анализа угроз, блокируя доступ к выявленным вредоносным адресам. При обнаружении подозрительной активности необходимо незамедлительно сообщать в правоохранительные органы и содействовать проведению оперативных и следственных мероприятий. Своевременное реагирование и межведомственное взаимодействие позволяют минимизировать потенциальный ущерб от кибератак.
Индикаторы компрометации
IPv4
- 116.204.171.195
- 134.209.173.227
- 178.162.203.211
- 185.214.10.22
- 189.6.66.135
- 193.111.78.190
- 196.251.115.19
- 37.49.148.60
- 94.140.120.193
- 97.106.23.197
Domains
- glad147.ddns.net
- ilenudavous-monoxoxapal-semimihupution.info
- jaks.ddns.net
- joker.proxywall.p-e.kr
- p.findmeatthe.top
- station.myvnc.com
- xwormkdv.ddns.net
