В состав эксплот кита Sundown входят эксплоиты, взятые из других наборов

В состав эксплот кита Sundown входят эксплоиты, взятые из других наборов

Эксперты компании Trustwave SpiderLabs изучили эксплоит кит Sundown, впервые обнаруженный специалистами еще в 2015 году. После исчезновения с «рынка» лидеров данной области, эксплоит китов Angler и Nuclear, авторы Sundown начали активно развивать свою разработку, очевидно, стремясь занять освободившуюся нишу.

Однако аналитики Trustwave SpiderLabs пишут, что на самом деле Sundown попросту ворует чужие эксплоиты, а лидирующие позиции в этой сфере по-прежнему занимают наборы Neutrino и RIG.

Подозрительную активность авторов Sundown первыми заметили специалисты компании Zscaler. В июне 2016 года Sundown вдруг начал обновляться, хотя раньше разработчики явно не стремились поддерживать актуальность своего «продукта». Так как активность началась после исчезновения эксплоит китов Angler и Nuclear, исследователи сделали вывод, что злоумышленники пытаются воспользоваться ситуацией и обратить неприятности конкурентов себе на пользу.

Напомню, что деятельность Angler была прекращена в связи с арестом участников хакерской группы Lurk, о деятельности которой недавно детально рассказали представители «Лаборатории Касперского». Разработчика Nuclear, в свою очередь, напугали исследователи компании Check Point, которые сумели детально изучить инфраструктуру всего сервиса, а затем написать об этом развернутый отчет. Специалисты также сумели идентифицировать автора эксплоит кита, сообщив, что это россиянин, проживающий в Краснодаре и зарабатывающий на своем детище порядка 100 000 долларов в месяц. Через несколько дней после выхода отчета Nuclear свернул все свои операции, пишет xakep.ru.

Специалисты Trustwave SpiderLabs, изучившие обновленный Sundown более внимательно, тоже полагают, что разработчики Sundown решили воспользоваться ситуацией. Более того, оказалось, что создатели эксплоит кита решили пойти по пути наименьшего сопротивления. Так, кодинг панели и DGA (Domain Generation Algorithm) были отдан на аутсорс группировке Yugoslavian Business Network, а все новые эксплоиты в составе набора оказались попросту украдены у конкурентов, разрабатывающих другие эксплоит киты.

Специалисты Trustwave SpiderLabs сообщают, что теперь в состав Sundown входят эксплоиты «позаимствованные» у Angler (для бага в IE: CVE-2015-2419), RIG (для бага в Silverlight: CVE-2016-0034), эксплоит из набора, похищенного у Hacking Team (для бага во Flash: CVE-2015-5119), а также эксплоит из Magnitude (для бага во Flash: CVE-2016-4117).

Совершено очевидно, что подобная тактика работает не слишком хорошо. Если авторы Sundown действительно хотят составить конкуренцию разработчикам других наборов, им придется обзавестись более внушительным арсеналом и начать писать эксплоиты самостоятельно.

Так, согласно данным Zscaler, наиболее опасными и популярными наборами эксплоитов по-прежнему являются Neutrino и RIG. Статистика, собранная за минувшее лето гласит, что Neutrino в основном занимается распространением дроппера малвари Gamarue, трояна Tofsee, а также вымогателей CryptXXX и CripMIC. RIG, в свою очередь, занимается доставкой трояна Tofsee, шифровальщика Cerber, а также банковских троянов Gootkit и Vawtrack. С большим отставанием этот список топовых эксплоит китов замыкают Magnitude, распространяющий вымогателя Cerber, и Sundown, который, по данным экспертов, этим летом в основном распространял бэкдор Kasidet.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Ростелеком-Солар и ESET будут вместе бороться с киберугрозами

«Ростелеком-Солар» и международная антивирусная компания ESET заключили стратегическое соглашение о сотрудничестве. В рамках технологического партнерства «Ростелеком-Солар» получил доступ к динамически обновляемой репутационной базе ESET Threat Intelligence, содержащей сотни тысяч наименований актуальных в каждый момент времени вредоносных доменов. Эти данные расширяют возможности центра мониторинга и реагирования на кибератаки Solar JSOC в части проактивного выявления угроз информационной безопасности у заказчиков, позволяя блокировать вредоносный трафик и развивающиеся фишинговые атаки.

ESET располагает более 100 млн точек сбора информации об угрозах по всему миру и агрегирует данные с большинства браузеров. Все это позволяет ESET поддерживать высокий уровень полноты и актуальности информации о вредоносных сайтах, недостижимый при менее масштабном покрытии.

Новая информация об опасных доменах загружается на платформу сбора данных о киберугрозах (Threat Intelligence) Solar JSOC раз в 5 минут. Использование этих данных наряду с применением антивирусного ПО другого вендора существенно обогащает репутационную базу Solar JSOC. Благодаря этому заказчики получают оперативную комплексную защиту даже от таких методов компрометации инфраструктуры, которые не фиксируются развернутым у них антивирусом.

«Постоянный сбор и обновление информации об угрозах — стратегическое направление для любого центра мониторинга и реагирования на киберинциденты, поскольку эти обогащенные данные во многом определяют эффективность его работы, — комментирует Тимур Ниязов, руководитель направления мониторинга и реагирования на киберугрозы «Ростелеком-Солар». — В свое время мы первыми заключили с ФинЦЕРТ соглашение об информационном обмене, к которому позже присоединились самые заметные игроки рынка ИБ. Вкупе с собственной аналитикой Solar JSOC это позволило достичь высокого уровня полноты и актуальности данных нашей платформы Threat Intelligence, однако мы постоянно работаем над ее пополнением и стремимся к сотрудничеству с ведущими поставщиками информации об актуальных угрозах. Компания ESET на сегодня обладает крайне насыщенной базой данных о вредоносных доменах, благодаря чему мы получаем более полную картину киберугроз в режиме реального времени».

«Входящие в состав ESET Threat Intelligence потоки данных увеличивают возможность обнаружения угроз и помогают своевременно реагировать на инциденты безопасности. Мы наблюдаем высокий интерес со стороны крупного бизнеса — услугу используют клиенты не только в России, но и в СНГ, — отмечает Александр Пирожков, руководитель направления ESET Threat Intelligence. — Мы гордимся тем, что теперь и «Ростелеком-Солар» использует наши потоки данных в своей работе. Сотрудничество с таким маститым игроком, одним из первопроходцев в области ИБ-аутсорсинга, подтверждает высокий уровень нашей экспертизы».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru