MTProxy-серверы Telegram совершили DDoS-атаки на иранского провайдера

MTProxy-серверы Telegram совершили DDoS-атаки на иранского провайдера

Иранский облачный провайдер подвергся серии DDoS-атак, которые осуществлялись через серверы MTProxy. Эти серверы мессенджер Telegram использует для обхода блокировки, установленной властями разных стран.

Как и у нас в стране, в Иране гражданам ограничивают общение через Telegram. Тем не менее пользователи могут задействовать серверы MTProxy, направив свои коммуникации через них.

Основная «фишка» таких средств обхода блокировки заключается в шифровании, позволяющем придать трафику рандомный вид. Эта реализация существенно усложняет установленные властями ограничения.

Атаки на Arvan Cloud начались утром 6 ноября и продолжались до конца недели. В пике сотрудники провайдера фиксировали 5 тысяч запросов в секунду.

В блоге атакованной компании сказано, что сотрудникам удалось установить источник атак. Оказалось, что за этой кибероперацией стояли популярные в Иране MTProxy-серверы, которые можно легко и бесплатно использовать.

Атаковать любой сайт с помощью этих серверов тоже довольно легко — достаточно просто поменять адрес одного прокси-сервера на IP-адрес атакованной машины. В результате Telegram отправляет запросы на целевую систему.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Эксперты Solar JSOC обнаружили новую профессиональную кибергруппировку

В киберпространстве зафиксированы атаки новой группировки. На активность злоумышленников обратили внимание специалисты центра мониторинга и реагирования на киберугрозы Solar JSOC, которые также подчеркнули, что группа использует уникальную вредоносную программу.

Эксперты Solar JSOC присвоили группировке имя — TinyScouts. Операторы действуют профессионально, используют сложную схему атаки. Основными целями выступают банки и энергетические компании.

Всё начинается с фишингового письма, предупреждающего о начале второй волны пандемии коронавирусной инфекции COVID-19. Сотрудникам организаций рекомендуют пройти по ссылке для получения дополнительной информации.

Часто киберпреступники используют более таргетированный подход: письма напрямую связаны с деятельностью организации, что придаёт им легитимность.

Пройдя по содержащейся в письме ссылке, жертва запускает цепочку, приводящую к загрузке и установке компонента вредоносной программы. Здесь, по словам специалистов Solar JSOC, злоумышленники действуют особенно осторожно.

Пейлоад загружается через анонимную сеть TOR, что нивелирует такую меру защиты, как блокировка соединений с конкретными IP-адресами.

Попавший в систему вредонос начинает собирать информацию о заражённом компьютере, после чего она оказывается в руках у операторов. Позже загружается программа-вымогатель, которая шифрует все данные на устройстве.

Есть и второй сценарий: на представляющий интерес компьютер сотрудника организации скачивается дополнительный PowerShell-вредонос, открывающий преступникам удалённый доступ. С его помощью операторы могут полностью контролировать устройство, а также выводить денежные средства, красть конфиденциальные данные и вести шпионаж.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru