Бинарники Kelihos сменили прописку

Александр Панасенко 18 Декабря 2012 - 19:15

...

Участники швейцарского проекта Abuse.ch обнаружили, что операторы р2р-ботнета Kelihos, специализирующегося на рассылке спама, покинули TLD-домен .eu и обновляют боты с сайтов, размещенных в российской национальной зоне.

По данным Abuse.ch, перенос площадок, используемых злоумышленниками для распространения Kelihos, он же Hlux, в другую TLD-зону произошел минувшим летом. Активисты насчитали свыше 170 ru-доменов, ассоциированных с хостами fast-flux сети, раздающими вредоносные файлы calc.exe и rasta01.exe. Все эти домены зарегистрированы через Reggi.ru и обслуживаются NS-серверами, также размещенными на fast-flux ботнете. Регистратор DNS-имен все тот же – Internet.bs (Багамы), сообщает securelist.com.

По оценке Abuse.ch, ботнет Kelihos в настоящее время охватывает 100-150 тыс. уникальных IP-адресов, ежедневно рассылающих спам. Нелишне напомнить, что результаты наблюдений, представленные экспертами, касаются новообразования, созданного ботоводами на базе Kelihos вскоре после ликвидации прежней бот-сети. Та была выведена из строя в сентябре прошлого года силами Microsoft, Лаборатории Касперского и Kyrus Tech и насчитывала около 50 тыс. IP-адресов.

По свидетельству Лаборатории Касперского, новая версия Kelihos появилась сразу после нейтрализации первоначального варианта ботнета и к февралю успела поразить несколько десятков тысяч пользовательских ПК. Функционал бота был расширен с целью обеспечить ботоводам дополнительные статьи дохода. Обновленный Kelihos умеет также заражать флэшки, создавая на них lnk-файлы подобно тому, как это делает Stuxnet, что создает еще один канал для распространения данного зловреда.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Екатерина Быстрова 26 Марта 2026 - 15:16

iOS Эксплойты Шпионские программы Программы слежения Кибершпионаж Целевые атаки Уязвимость нулевого дня Таргетированные атаки Общее Apple Лаборатория Касперского

Шпионский инструмент Coruna оказался связан с Операцией Триангуляция

Эксперты Kaspersky GReAT разобрали код Coruna — сложного инструмента для кибершпионажа, нацеленного на iPhone, и пришли к неприятному выводу: он как минимум частично использовался в атаке «Операция Триангуляция», о которой «Лаборатория Касперского» рассказывала ещё в 2023 году.

Инструмент, который раньше ассоциировался с очень точечными атаками, похоже, не исчез, а продолжил развиваться.

И теперь речь уже идёт не просто о старом наборе эксплойтов, а о более широкой и живой платформе, которая потенциально может угрожать большому числу iOS-устройств.

Одна из самых заметных находок — обновлённая версия эксплойта, использовавшегося в «Операции Триангуляция». В Coruna исследователи обнаружили, что этот код уже адаптирован под более новые устройства и версии системы.

В частности, там есть проверки для процессоров A17, M3, M3 Pro и M3 Max, а также для iOS 17.2, то есть для техники и ПО, появившихся уже после первоначального раскрытия кампании.

Более того, в модифицированном эксплойте нашли и специальную проверку для iOS 16.5 beta 4 — версии, которая, как отмечают исследователи, выпускалась для исправления уязвимостей, ранее переданных Apple.

Но на этом история не заканчивается. Внутри Coruna специалисты нашли ещё четыре новых эксплойта уровня ядра, которых не было в «Операции Триангуляция». Два из них, по оценке исследователей, вообще были разработаны уже после того, как та кампания стала известна. Это важный момент: он показывает, что речь идёт не о случайной сборке из старых фрагментов, а о развитии единого инструментария.

В Kaspersky подчёркивают, что сходство прослеживается не только в самих эксплойтах, но и в других компонентах Coruna. Именно это и позволило сделать вывод: Coruna — не набор разрозненных кусков кода, а эволюция исходного фреймворка, который применялся в «Операции Триангуляция».

По словам ведущего исследователя Kaspersky GReAT Бориса Ларина, поначалу напрямую связать Coruna с той кампанией было нельзя: одно лишь использование одинаковых уязвимостей ещё не доказывает общего происхождения. Но технический анализ показал, что между ними есть более глубокая связь.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!