Главная страница » Индикаторы компрометации
0
7 дней
Индикаторы компрометации

Раскрыта новая цепь кибератак: провайдеры командного центра поддержки как ключевое звено экономики вымогателей

ransomware

Исследовательская группа Halcyon опубликовала отчет, раскрывающий деятельность ранее неизученного игрока в сфере киберпреступности - провайдеров командного центра поддержки (C2P, Command-and-Control Providers). Эти организации, маскирующиеся под легальный бизнес, предоставляют критическую инфраструктуру для проведения масштабных атак вымогателями (ransomware) и группами повышенной угрозы (APT, Advanced Persistent Threat).

Описание

Согласно отчету «Cloudzy с вероятностью вымогательства: разоблачение провайдеров командного центра поддержки (C2P)», исследователи разработали уникальную методику идентификации подобных провайдеров, позволяющую прогнозировать подготовку к крупным ransomware-кампаниям на ранних стадиях. Метод основан на анализе метаданных атакующей инфраструктуры, в частности - имен удаленных рабочих столов (RDP, Remote Desktop Protocol).

Ключевым открытием стало установление роли интернет-провайдера Cloudzy как общего поставщика услуг для многочисленных киберпреступных группировок. Компания принимает криптовалюты в обмен на анонимное использование своих виртуальных приватных серверов (VPS, Virtual Private Server) с поддержкой RDP. Исследование показало, что от 40% до 60% активности через Cloudzy имеет злонамеренный (malicious) характер.

Среди пользователей услуг Cloudzy выявлены APT-группы, связанные с правительствами Китая, Ирана, Северной Кореи, России, Индии, Пакистана и Вьетнама. Также услугами провайдера пользуется подвергнутая санкциям израильская компания по производству шпионского ПО, инструменты которой нацелены на гражданское общество, и несколько криминальных синдикатов, чьи кампании ранее становились международными сенсациями.

Особую значимость исследованию придает идентификация двух ранее неизвестных аффилированных лиц с вымогателями, получивших кодовые имена Ghost Clown и Space Kook. Первый в настоящее время развертывает BlackBasta ransomware , второй - Royal. Обе группировки связаны через общего интернет-провайдера Cloudzy.

Юридический статус самого Cloudzy вызывает серьезные вопросы. Несмотря на регистрацию в Соединенных Штатах, собранные доказательства указывают на фактическое расположение компании в Тегеране (Иран) под руководством лица по имени Хасан Нозари. Такая деятельность потенциально нарушает американские санкции против Ирана.

Методика Halcyon позволяет использовать маловероятную точку анализа - имена хостов RDP в метаданных инфраструктуры аффилированных лиц. Это дает командам безопасности возможность обнаруживать надвигающиеся атаки вымогателей на этапе развертывания атакующей инфраструктуры, то есть до момента непосредственного запуска вредоносного кода.

Исследователи пришли к выводу о устойчивой модели использования или злоупотребления серверами интернет-провайдера Cloudzy со стороны более двух десятков различных субъектов угроз. Отчет содержит конкретные индикаторы компрометации и рекомендует специалистам по безопасности немедленно реагировать при появлении в их сетях любого из одиннадцати идентифицированных имен хостов RDP.

Защитникам предлагается осуществлять поиск этих имен хостов как ретроспективно - для выявления возможных атак, уже находящихся в активной фазе, так и проактивно - для предотвращения начала любой злонамеренной деятельности. Этот подход позволяет значительно сместить обнаружение угроз «влево от взрыва» в временной шкале киберинцидента, что кардинально повышает шансы на успешное противодействие.

Опубликованное исследование вносит существенный вклад в понимание архитектуры современной киберпреступности, выделяя провайдеров C2 в отдельную категорию участников экосистемы, и предлагает практические инструменты для упреждающей защиты против одних из самых разрушительных кибератак современности.

Индикаторы компрометации

IPv4

  • 139.177.146.152
  • 172.93.201.120
  • 23.19.58.181

Netblocks

  • 104.237.193.40/29
  • 104.237.193.56/29
  • 104.237.194.152/29
  • 104.237.219.32/29
  • 104.237.219.40/29
  • 167.88.4.0/29
  • 167.88.4.112/29
  • 167.88.4.16/29
  • 167.88.4.24/29
  • 167.88.4.8/29
  • 172.86.120.0/22
  • 172.93.179.8/29
  • 172.93.179.24/29
  • 172.93.179.32/29
  • 172.93.179.40/29
  • 172.93.179.72/29
  • 172.93.179.96/29
  • 172.93.179.104/29
  • 172.93.179.112/29
  • 172.93.179.120/29
  • 172.93.179.128/29
  • 172.93.179.144/29
  • 172.93.179.152/29
  • 172.93.179.160/29
  • 172.93.179.176/29
  • 172.93.179.184/29
  • 172.93.179.192/29
  • 172.93.179.200/29
  • 172.93.179.208/29
  • 172.93.179.224/29
  • 172.93.179.232/29
  • 172.93.179.240/29
  • 172.93.179.248/29
  • 172.93.181.0/24
  • 172.93.193.0/24
  • 172.93.201.0/24
  • 172.93.204.120/29
  • 172.93.205.128/29
  • 172.93.205.136/29
  • 172.93.205.144/29
  • 64.44.101.0/24
  • 64.44.102.0/24
  • 64.44.134.0/29
  • 64.44.134.16/29
  • 64.44.134.24/29
  • 64.44.134.32/29
  • 64.44.134.40/29
  • 64.44.134.48/29
  • 64.44.134.56/29
  • 64.44.135.0/24
  • 64.44.140.232/29
  • 64.44.141.0/24
  • 64.44.51.168/29
  • 64.44.97.0/24
  • 64.44.98.0/24

Domains

  • mojimetigi.biz

SHA256

  • 4d56e0a878b8a0f04462e7aa2a47d69a6f3a31703563025fb40fb82bab2a2f05
  • b27ca5155e42e372d37cf2bcbb1f159627881ecbae2e51d41f414429599d37a7
Комментарии: 0
Похожие записи
0
21.05.2025
Индикаторы компрометации

Троянизированный менеджер паролей KeePass крадёт данные и распространяет вымогателей

security
Компания WithSecure опубликовала расследование о масштабной кибератаке, в ходе которой злоумышленники модифицировали исходный код популярного менеджера паролей KeePass.