 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
24 апреля, среда, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Последнее время новая бот-сеть активно используется для проксирования трафика, ассоциируемого с GandCrab.
Исследователи из Proofpoint обнаружили новую инфраструктуру, обеспечивающую динамическую перерегистрацию IP-адресов (fast flux) для сокрытия вредоносной активности.
Эксперты наблюдают SandiFlux, как они называют это новообразование, с декабря. По их словам, последнее время данная бот-сеть активно используется для проксирования трафика, ассоциируемого с вымогательским ПО GandCrab.
Аналогичные услуги предлагают операторы Dark Cloud, он же Fluxxy, — многоцелевого ботнета, за деятельностью которого в Proofpoint следят с 2014 года. Эта инфраструктура позволяет быстро и автоматическом режиме менять IP-адреса, домены и даже DNS-серверы, чтобы продлить жизнь мошеннических сайтов, вредоносных площадок и C&C-серверов.
Dark Cloud широко используют кардеры, операторы эксплойт-паков, авторы malvertising-кампаний, спамеры, фишеры, ботоводы и операторы вредоносных программ — например, даунлоудера Furtim, он же SFG.
Ныне, согласно Proofpoint, некоторые из этих злоумышленников начали откочевывать на SandiFlux. Так, в феврале новую возможность опробовал распространитель zloader — автор вредоносных кампаний, которого исследователи условно называют TA547. В ноябре этот злоумышленник, согласно наблюдениям, использовал инфраструктуру Dark Cloud.
В марте к новым услугам fast flux обратился спамер TA505, который до недавнего времени продвигал сети нелицензированных интернет-аптек с помощью Dark Cloud, а теперь подрядился распространять GandCrab.
Анализ данных о географическом местоположении новоявленного fast flux ботнета показал, что большинство скомпрометированных хостов находятся в Румынии и Болгарии (46,4 и 21,3% соответственно), остальные — в других странах Западной Европы, в Африке, южной Азии и на Ближнем Востоке.
Узлы Dark Cloud располагаются на Украине (77,4%) и в России (14,5%), и ни одного совпадения с SandiFlux обнаружить не удалось.
Вместе с тем исследователи не берутся утверждать, что эти инфраструктуры не связаны. Напротив, в Proofpoint предполагают, что оператор у Dark Cloud и SandiFlux один — он мог попросту разделить свои активы, чтобы облегчить эксплуатацию.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
