Грабители из Evil Corp управляют своим бэкдором с молдавского хостинга

Грабители из Evil Corp управляют своим бэкдором с молдавского хостинга

Грабители из Evil Corp управляют своим бэкдором с молдавского хостинга

В ИБ-компании PRODAFT изучили панель управления TeslaGun — ранее недокументированный софт, который криминальная группа TA505, она же Evil Corp, использует для подачи команд резидентным бэкдорам ServHelper.

Как оказалось, С2-инфраструктура в данном случае сильно зависит от работоспособности серверов молдавского провайдера MivoCloud, а 8% жертв вредоносных атак проживают в России.

Группировка TA505/Evil Corp, также известная в ИБ-сообществе как Gold Drake, Dudear, Indrik Spider и CHIMBORAZO, уже 15 лет охотится за чужими деньгами. Согласно отчету швейцарских экспертов (доступен в PDF на сайте PRODAFT), ее преимущественно интересуют пользователи онлайн-банкинга и заядлые шоперы, а также владельцы криптокошельков.

Данная ОПГ примечательна тем, что часто меняет стратегию вредоносных атак, отслеживая и быстро осваивая новые техники, чтобы собрать урожай до ответной реакции ИБ-индустрии. На Западе склонны приписывать TA505 российские корни или как минимум считать этих хакеров выходцами из Восточной Европы.

Из самопальных инструментов TA505 наиболее известен Dridex — банковский троян, в последние годы используемый как загрузчик других вредоносных программ, в том числе шифровальщиков. Данную кибергруппу также ассоциируют с бестелесным трояном FlawedAmmyy, ботнетом Kasidet/Neutrino и Windows-бэкдором, получившим кодовое имя ServHelper.

Панель управления TeslaGun, попавшая в поле зрения швейцарских экспертов, не обременена лишними деталями. Из отображаемой информации в ней представлены только данные о заражениях (в сводной таблице), раздел комментариев для каждой жертвы и несколько опций для фильтрации записей.

С помощью TeslaGun можно также подавать команды устройствам с ServHelper-имплантом — по отдельности или всем сразу. Кроме того, в настройках можно задать автозапуск конкретной команды при добавлении новых жертв.

Прокси-серверы с панелью управления бэкдором злоумышленники часто переносят в пределах одного и того же дата-центра. Большинство выявленных IP-адресов принадлежат молдавскому хостинг-провайдеру:

 

После внедрения ServHelper автору атаки предоставляется возможность подключиться к зараженной машине через скрытые RDP-туннели — вручную, подав из консоли специальную команду (bk). С этой целью был создан специальный инструмент; такие соединения устанавливаются через выбранный порт прокси-сервера.

Анализ информации о заражениях, найденной в TeslaGun, показал, что с июля 2020 года вредоносные атаки TA505 собрали как минимум 8160 жертв — в основном в США (3667). В пятерку стран-лидеров по этому показателю также вошли Россия (647), Бразилия (483), Румыния и Великобритания (444 и 359 соответственно).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Microsoft: Мы не можем защитить данные пользователей от запросов США

Microsoft заявила французским сенаторам, что не может гарантировать полную защиту пользовательских данных в ЕС от возможных запросов со стороны американских властей — если в США вдруг решат, что им что-то нужно.

Речь идёт о законе CLOUD Act, принятом ещё в 2018 году. Он позволяет американским властям требовать у компаний доступ к цифровым данным — даже если они физически хранятся за пределами США.

Так что, условно говоря, если данные находятся во Франции, но сервер принадлежит Microsoft, корпорация должна передать информацию.

Об этом говорили представители Microsoft France на слушаниях в Сенате 18 июня. Когда у юристов Microsoft прямо спросили: «А вы точно можете гарантировать, что данные французов не уйдут в США без согласия Франции?» — они честно ответили: «Нет, не можем».

Microsoft, правда, настаивает, что делает всё, чтобы защитить клиентов — особенно госсектор. По словам Антона Карньо, директора по правовым вопросам Microsoft France, компания тщательно проверяет каждый запрос от американских властей и может его отклонить, если он выглядит «необоснованным». Иногда Microsoft даже просит власти обратиться напрямую к клиенту.

Но всё же, если запрос оформлен корректно и по всем правилам, то компания обязана передать данные. И, несмотря на заявления о «прозрачности», это касается всех американских облачных провайдеров, а не только Microsoft. В той же лодке — AWS, Google и другие.

Представитель AWS, например, на днях напомнил: CLOUD Act касается всех компаний, которые работают в США, даже если они европейские. То есть и французская OVHcloud тоже может попасть под раздачу — у неё ведь есть американские офисы.

Почему это важно? Потому что в Европе всё громче звучат призывы к цифровому суверенитету — то есть к тому, чтобы данные европейцев хранились и обрабатывались только в Европе. И чтобы никто из-за океана не мог в них сунуть нос, даже под предлогом «нацбезопасности».

Microsoft, Google и AWS понимают, куда всё катится, и активно пытаются убедить клиентов, что у них всё под контролем: строят дата-центры в ЕС, обещают «локализацию», и даже запускают продукты, которые якобы соответствуют требованиям суверенитета. Но на деле — юрисдикция остаётся американской.

На фоне этих заявлений всё больше экспертов и политиков в ЕС говорят: пора заканчивать с «облачной» зависимостью от США. Да, свои инфраструктуры строятся медленно, но другого выхода, похоже, нет.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru