Каждый пятый спящий домен потенциально опасен либо откровенно вредоносен

Татьяна Никитина 30 Декабря 2021 - 19:30

...

Эксперты подразделения Unit42 компании Palo Alto Networks представили результаты мониторинга трафика в доменах, которые долго не подавали признаки жизни и вдруг проснулись. Как оказалось, 22,27% давно созданных сайтов являются вредоносными, подозрительными или небезопасными для работы.

Исследование было запущено после того, как выяснилось, что в ходе атаки на SolarWinds троян использовал DGA для вывода данных целевых систем в поддомены. Специалистов заинтересовала проблема своевременного выявления доменов, которые злоумышленники регистрируют и оставляют в бездействии — зарабатывать чистую репутацию к моменту атаки, чтобы обмануть защитные фильтры.

Весь сентябрь эксперты мониторили дремлющие хосты, фиксируя динамику DNS-трафика. Оказалось, что заготовленные впрок домены легитимных компаний оживают постепенно, а в тех, что принадлежат киберкриминалу, трафик может за сутки возрасти в 10 раз.

Именно характер таких изменений и позволил исследователям в среднем идентифицировать по 26 тыс. потенциально опасных хостов в сутки. К концу наблюдений выяснилось, что 3,8% таких находок откровенно вредоносные, 19% подозрительны, а 2% ненадежны в качестве рабочей среды.

Кроме внезапного и резкого взлета трафика, верными признаками злого умысла в создании стратегического запаса, по словам экспертов, являются скудный / скопированный / невразумительный контент, отсутствие данных заявителя в базе WHOIS и наличие множества сгенерированных по DGA поддоменов.

Злоумышленники обычно используют DGA, чтобы уберечь свои C2-серверы от обнаружения. Мониторинг на основе только этого признака ежедневно приносил по два положительных результата; при их пробуждении сразу объявлялись сотни тысяч поддоменов. Яркий пример тому — летняя кампания Pegasus; два его C2-домена были зарегистрированы в 2019 году, а проснулись в минувшем июле, с высоким процентом DGA-трафика (23,22% на старте, 42,04% спустя пару дней, по данным Palo Alto).

Созданные по DGA домены используют также фишеры — тоже для маскировки, как прокси-слой для разделения трафика поисковых ботов и аналитиков (направляются на легитимные сайты) и потенциальных жертв (направляются на страницы-ловушки).

Наконец, DGA используется в целях так называемой черной оптимизации. Мошенники связывают между собой множество веб-страниц на одном и том же IP-адресе с тем, чтобы повысить рейтинг хоста в поисковой системе.

Репутационные фильтры обычно уделяют почтенным доменам меньше внимания, чем новичкам, которых они априори считают подозрительными. Исследование Palo Alto показало, что домены, спящие много месяцев, а то и пару лет, могут преподнести неприятный сюрприз с большей вероятностью — по оценке экспертов, раза в три.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 11 Февраля 2026 - 14:50

Эксплойты Шпионские программы Программы слежения Уязвимости программ Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство BI.ZONE

Кибершпионы в России переключились на НИОКР и инженерные предприятия

Доля кибератак на российские организации, совершаемых с целью шпионажа, заметно выросла. По данным портала киберразведки BI.ZONE Threat Intelligence, в 2025 году на шпионские операции пришлось уже 37% атак (против 21% годом ранее). Иными словами, если раньше шпионской была примерно каждая пятая атака, то теперь — уже почти каждая третья.

При этом госсектор остаётся для таких группировок целью номер один. На органы государственного управления приходится 27% атак шпионских кластеров.

Но интерес злоумышленников всё чаще смещается и в сторону науки и технологий. Доля атак на организации, связанные с НИОКР, за год выросла вдвое — с 7% до 14%.

Как отмечает руководитель BI.ZONE Threat Intelligence Олег Скулкин, рост доли шпионских атак почти в полтора раза стал одним из ключевых трендов 2025 года. По его словам, специалисты наблюдают более 100 кластеров, нацеленных на Россию и страны СНГ, и около 45% из них — это именно шпионские группировки.

Интересно, что такие кластеры сильно различаются по уровню подготовки. В одних случаях злоумышленники применяют технически сложные инструменты, но выдают себя плохо составленными фишинговыми письмами. В других — атаки относительно простые, зато адаптированы под локальный контекст и выглядят максимально правдоподобно.

Так, во второй половине декабря 2025 года группировка Rare Werewolf атаковала научно-исследовательское и производственное предприятие оборонно-промышленного комплекса. Жертве отправили письмо якобы с коммерческим предложением на поставку и монтаж сетевого оборудования — от имени сотрудника научно-производственного центра беспилотных систем.

Во вложении не было классических зловредов. Вместо этого использовались легитимные инструменты: AnyDesk для удалённого доступа, 4t Tray Minimizer для скрытия окон и утилита Blat — для незаметной отправки похищенных данных. Такой подход позволяет дольше оставаться незамеченными и обходить системы защиты.

Впрочем, легитимными программами дело не ограничивается. Почти все шпионские кластеры активно применяют зловред собственной разработки. Новые самописные инструменты помогают обходить средства защиты и закрепляться в инфраструктуре на длительное время.

Кроме того, такие группировки, как правило, не стеснены в ресурсах. Они могут позволить себе покупку дорогостоящих эксплойтов, включая 0-day. Ранее специалисты BI.ZONE фиксировали атаки кластера Paper Werewolf, который, предположительно, приобрёл на теневом форуме эксплойт к уязвимости в WinRAR за 80 тысяч долларов.

Судя по динамике, кибершпионаж становится всё более системным и профессиональным — и явно не собирается сдавать позиции.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »