Грабители из Evil Corp управляют своим бэкдором с молдавского хостинга

Татьяна Никитина 06 Сентября 2022 - 20:00

...

Грабители из Evil Corp управляют своим бэкдором с молдавского хостинга

В ИБ-компании PRODAFT изучили панель управления TeslaGun — ранее недокументированный софт, который криминальная группа TA505, она же Evil Corp, использует для подачи команд резидентным бэкдорам ServHelper.

Как оказалось, С2-инфраструктура в данном случае сильно зависит от работоспособности серверов молдавского провайдера MivoCloud, а 8% жертв вредоносных атак проживают в России.

Группировка TA505/Evil Corp, также известная в ИБ-сообществе как Gold Drake, Dudear, Indrik Spider и CHIMBORAZO, уже 15 лет охотится за чужими деньгами. Согласно отчету швейцарских экспертов (доступен в PDF на сайте PRODAFT), ее преимущественно интересуют пользователи онлайн-банкинга и заядлые шоперы, а также владельцы криптокошельков.

Данная ОПГ примечательна тем, что часто меняет стратегию вредоносных атак, отслеживая и быстро осваивая новые техники, чтобы собрать урожай до ответной реакции ИБ-индустрии. На Западе склонны приписывать TA505 российские корни или как минимум считать этих хакеров выходцами из Восточной Европы.

Из самопальных инструментов TA505 наиболее известен Dridex — банковский троян, в последние годы используемый как загрузчик других вредоносных программ, в том числе шифровальщиков. Данную кибергруппу также ассоциируют с бестелесным трояном FlawedAmmyy, ботнетом Kasidet/Neutrino и Windows-бэкдором, получившим кодовое имя ServHelper.

Панель управления TeslaGun, попавшая в поле зрения швейцарских экспертов, не обременена лишними деталями. Из отображаемой информации в ней представлены только данные о заражениях (в сводной таблице), раздел комментариев для каждой жертвы и несколько опций для фильтрации записей.

С помощью TeslaGun можно также подавать команды устройствам с ServHelper-имплантом — по отдельности или всем сразу. Кроме того, в настройках можно задать автозапуск конкретной команды при добавлении новых жертв.

Прокси-серверы с панелью управления бэкдором злоумышленники часто переносят в пределах одного и того же дата-центра. Большинство выявленных IP-адресов принадлежат молдавскому хостинг-провайдеру:

После внедрения ServHelper автору атаки предоставляется возможность подключиться к зараженной машине через скрытые RDP-туннели — вручную, подав из консоли специальную команду (bk). С этой целью был создан специальный инструмент; такие соединения устанавливаются через выбранный порт прокси-сервера.

Анализ информации о заражениях, найденной в TeslaGun, показал, что с июля 2020 года вредоносные атаки TA505 собрали как минимум 8160 жертв — в основном в США (3667). В пятерку стран-лидеров по этому показателю также вошли Россия (647), Бразилия (483), Румыния и Великобритания (444 и 359 соответственно).

Следующая главная новость »

Как эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности

Екатерина Быстрова 07 Декабря 2025 - 21:27

Общее Сетевая безопасность

Главные угрозы для ВКС и чатов: что покажут на спецэфире AM Live и DION

Корпоративные чаты, видеозвонки и совместные файлы давно стали для компаний тем, чем являются нервы для организма. Но именно эта связь всё чаще становится главным входом для атакующих. 11 декабря в 11:00 пройдёт специальный эфир AM Live, подготовленный совместно с командой DION, где разберут, как защитить коммуникации без потерь для бизнеса и удобства.

Организаторы обещают нестандартный формат с тремя точками зрения — создателя продукта, интегратора и конечного пользователя.

Такой подход позволяет увидеть картину целиком: как устроена архитектура безопасности, какие ошибки чаще всего допускают при внедрении и какие угрозы реально проявляются в работе.

Программа вебинара выстроена как пошаговый маршрут — от понимания рисков до готового защищённого решения.

Сначала участникам предложат карту угроз: что может случиться при использовании обычных мессенджеров и ВКС. Речь пойдёт об утечках данных, скрытых подключениях к звонкам, вредоносных ссылках, фишинге, поддельных аккаунтах и даже дипфейках. Отдельно обсудят прямой ущерб: мошенничество от лица компании, срыв переговоров и остановку процессов.

Затем эксперты DION расскажут, как устроена защита внутри их платформы. Будет и разговор о философии продукта, и конкретика про шифрование, безопасность инфраструктуры и контроль доступа. Отдельный акцент — куда движется безопасность корпоративных коммуникаций и какие угрозы уже маячат на горизонте.

Третий блок станет самым практическим: как правильно развернуть защищённую систему, какие шаги обязательны и какие три ошибки могут всё испортить. Здесь же обсудят свежие тренды в защите корпоративных коммуникаций.

В конце — взгляд заказчика. Почему компании начинают искать более защищённое решение, что стало аргументом в пользу DION и какие реальные риски закрываются после внедрения. Это честный разбор того, что работает в полях.

После каждого блока обещают живой разговор с экспертами и ответы на вопросы.

Итогом вебинара станет понятный алгоритм: как оценивать риски, как выбирать платформу и как внедрять её так, чтобы безопасность не мешала бизнесу, а становилась его опорой.

Дата и время: 11 декабря 2025 года, 11:00 (МСК). Формат — онлайн.

Зарегистрироваться можно по этой ссылке.