Ботмастера SpyEye и ZeuS пытались саботировать работу Abuse.ch

Ботмастера SpyEye пытались саботировать работу Abuse.ch

Ксения Ренселаева 12 Марта 2011 - 18:23

RSA

Ботнет

DDoS-атаки

Вредоносные программы

Трояны

...

Исследователи в области безопасности RSA FraudAction Research Lab сообщают о появлении новой версии трояна SpyEye, которая теперь снабжена плагином, позволяющим проведение DDoS атак. Первым целевым ресурсом стал abuse.ch.

Как известно, этот веб-сайт был создан швейцарскими специалистами в области безопасности несколько лет назад с целью мониторинга активности опасных банковских тоянов ZeuS, SpyEye и Palevo, а также отслеживания появления их новых контрольных серверов и зараженных сайтов. Сервисом активно пользовались многие интернет – провайдеры и компании для того, чтобы обезопасить своих пользователей от посещения вредоносных ресурсов. Кроме этого сервис позволяет блокировать подозрительные IP адреса или домены и, таким образом, нарушить связь между зараженной машиной и контрольным пунктом бота.

Естественно, это вызывало негодование злоумышленников, которые с помощью упомянутых программ кропотливо создавали свои сети.

По словам независимого журналиста Брайана Кребса, на соответствующих форумах хакеры искали метод нейтрализовать мешающий им сервис. Некоторые участники даже предложили физическую расправу над создателем ресурса. Однако был выбран иной путь. Они решили устроить DDoS атаку, а инструментом для ее проведения был выбран SpyEye. Причем такой выбор был сделан не случайно, ведь последние версии трояна поддерживают возможность расширения функционала путем добавления новых модулей при сборке.

Так появилась последняя версия бота. Причем, стоит отметить, что разработчики подошли к задаче основательно, предоставив возможность выбора между типом атак: SYN Flood, UDP Flood и Slowloris Flood. Кроме этого, они включили в файл конфигурации трояна легитимные сайты, в числе которых оказались google.com, myspace.com и vkontakte.ru, дабы усложнить детектирования вредоносных ресурсов. Это означает, что все собранные данные, включая скриншоты, логины и пароли пользователей, сертификаты и cookies будут отправляться как на контрольные серверы, так и на указанные адреса законных сайтов.

Таким образом, замысел хакеров очевиден. Как предполагают эксперты, при попытке воспользоваться ресурсом abuse.ch пользователи будут введены в заблуждение, поскольку он будет идентифицировать легитимные домены как вредоносные и, наоборот, в результате чего сервис потеряет доверие, а эффективность обнаружения снизится.

Следующая главная новость »

Итоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »

Екатерина Быстрова 20 Декабря 2025 - 21:25

Фишинг Атаки на сайты Кибервойны Кибершпионаж Целевые атаки Информационные войны Таргетированные атаки Государство

APT28 атаковала UKR[.]NET: фишинг, PDF и прокси ngrok

Кибергруппировка BlueDelta почти год вела масштабную кампанию по краже учётных данных пользователей UKR[.]NET — одного из самых популярных почтовых и новостных сервисов Украины. Атаки продолжались с июня 2024 года по апрель 2025-го и, по оценке аналитиков, стали заметным усилением разведывательной активности.

Об этом говорится в новом исследовании Insikt Group (Recorded Future). BlueDelta — она же APT28, Fancy Bear и Forest Blizzard — давно специализируется на фишинге и краже учётных данных.

Но после того как в начале 2024 года западные правоохранительные органы «прикрыли» часть её инфраструктуры, группа заметно прокачала свои методы.

Вместо скомпрометированных роутеров злоумышленники перешли на прокси-туннелирование через легальные сервисы — такие как ngrok и Serveo. Это позволило скрывать реальные серверы и продолжать операции практически без пауз.

По данным исследователей, BlueDelta развернула более 42 цепочек для сбора учётных данных, используя бесплатные веб-сервисы и хостинги. В ход шли:

поддельные страницы входа UKR[.]NET, размещённые через Mocky API;
бесплатные хостинг-провайдеры (DNS EXIT, Byet Internet Services);
обратные прокси и короткие ссылки для маскировки инфраструктуры.

Фальшивые страницы выглядели как настоящая форма входа UKR[.]NET и собирали:

логины и пароли;
коды двухфакторной аутентификации;
IP-адреса жертв.

Для этого использовался кастомный JavaScript, в том числе с передачей данных через HTTPBin. Отдельного внимания заслуживает приём с PDF-файлами, замаскированными под уведомления о подозрительной активности в аккаунте. Внутри — ссылка «для смены пароля», ведущая на фишинговую страницу.

Такой формат позволял: обходить почтовые фильтры, не попадать под песочницы и выглядеть максимально правдоподобно для пользователя. Это явно говорит о хорошем понимании корпоративных средств защиты.

Весной 2025 года аналитики заметили очередное обновление схемы атак:

переход с DNS EXIT на бесплатные поддомены ngrok;
появление серверов во Франции и Канаде для передачи данных;
использование тайпсквот-доменов вроде ukrinet[.]com и ukrainnet[.]com — на случай блокировок.

Интересная деталь: в код добавили заголовок ngrok-skip-browser-warning, который отключает предупреждения ngrok и делает прокси практически незаметным для пользователя.

Фокус на пользователях UKR[.]NET полностью укладывается в разведывательные задачи ГРУ. Кража учётных данных остаётся дешёвым и эффективным способом получить первичный доступ — а дальше возможны многоэтапные шпионские операции.

Исследователи считают, что BlueDelta продолжит такие кампании как минимум до 2026 года, делая ставку на анонимную, дешёвую и распределённую инфраструктуру.

Итоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »