Банкер Ares обрел резервный способ поиска C2-сервера

Банкер Ares обрел резервный способ поиска C2-сервера — с помощью DGA

Татьяна Никитина 08 Сентября 2022 - 19:27

...

Банкер Ares обрел резервный способ поиска C2-сервера — с помощью DGA

Банковский троян Ares, которого в Zscaler отслеживают с февраля прошлого года, получил обновления; самой приметной из новинок является генератор доменных имен, позволяющий продлить жизнь C2-серверам. Анализ показал, что алгоритм DGA идентичен тому, что некогда использовал Qakbot, однако его реализация отлична.

По словам экспертов, Ares построен на кодах Windows-троянов Kronos и Osiris (форка Kronos, использующего Tor для C2-связи). Банкер, впервые объявившийся в немецкоязычном спаме, активно развивается, получая новые веб-инжекты и модули (VNC, инфостилер для кражи данных из браузеров, VPN-клиентов, Filezilla, Outlook, криптокошельков).

В этом году операторы Ares взяли тайм-аут с марта по август, а затем выпустили новую версию — с DGA в качестве резервного механизма связи с C2. Теперь троян вначале пускает в ход вшитые в код URL, совершая до 50 попыток подключиться к центру управления; когда эти каналы недоступны, в ход идет DGA.

Как выяснилось, таким же алгоритмом в свое время пользовался Qakbot, однако вместо заимствования кода авторы Ares создали свой — скорее всего на основе opensource-варианта генератора Qakbot, доступного на GitHub.

Доморощенная реализация позволяет новобранцу создавать 50 доменов в заданный период (150 за месяц; генератор Qakbot работал намного быстрее, выдавая 5000 результатов). Имена при этом выглядят как последовательность строчных букв (от восьми до 25, латиница), к которой добавлен TLD-домен — .com, .net, .org, .info или .biz по вшитому списку.

Создавая домены по алгоритму, Ares использует вшитое зерно и текущую дату, которую получает на порту 13/TCP с серверов американского института стандартов и технологий (time-a.nist.gov, time-a-g.nist.gov или time.nist.gov). Qakbot с той же целью обращался к публичным ресурсам — google.com, cnn.com, microsoft.com.

Исследователи также отметили, что в арсенале банкера появились дополнительные веб-инжекты. Обновления пока не спускаются в динамике с C2, но в коде свежих образцов Ares обнаружены конфигурационные данные, указывающие новую цель — банк BBVA México.

Следующая главная новость »

Как эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности

Екатерина Быстрова 07 Декабря 2025 - 21:27

Общее Сетевая безопасность

Главные угрозы для ВКС и чатов: что покажут на спецэфире AM Live и DION

Корпоративные чаты, видеозвонки и совместные файлы давно стали для компаний тем, чем являются нервы для организма. Но именно эта связь всё чаще становится главным входом для атакующих. 11 декабря в 11:00 пройдёт специальный эфир AM Live, подготовленный совместно с командой DION, где разберут, как защитить коммуникации без потерь для бизнеса и удобства.

Организаторы обещают нестандартный формат с тремя точками зрения — создателя продукта, интегратора и конечного пользователя.

Такой подход позволяет увидеть картину целиком: как устроена архитектура безопасности, какие ошибки чаще всего допускают при внедрении и какие угрозы реально проявляются в работе.

Программа вебинара выстроена как пошаговый маршрут — от понимания рисков до готового защищённого решения.

Сначала участникам предложат карту угроз: что может случиться при использовании обычных мессенджеров и ВКС. Речь пойдёт об утечках данных, скрытых подключениях к звонкам, вредоносных ссылках, фишинге, поддельных аккаунтах и даже дипфейках. Отдельно обсудят прямой ущерб: мошенничество от лица компании, срыв переговоров и остановку процессов.

Затем эксперты DION расскажут, как устроена защита внутри их платформы. Будет и разговор о философии продукта, и конкретика про шифрование, безопасность инфраструктуры и контроль доступа. Отдельный акцент — куда движется безопасность корпоративных коммуникаций и какие угрозы уже маячат на горизонте.

Третий блок станет самым практическим: как правильно развернуть защищённую систему, какие шаги обязательны и какие три ошибки могут всё испортить. Здесь же обсудят свежие тренды в защите корпоративных коммуникаций.

В конце — взгляд заказчика. Почему компании начинают искать более защищённое решение, что стало аргументом в пользу DION и какие реальные риски закрываются после внедрения. Это честный разбор того, что работает в полях.

После каждого блока обещают живой разговор с экспертами и ответы на вопросы.

Итогом вебинара станет понятный алгоритм: как оценивать риски, как выбирать платформу и как внедрять её так, чтобы безопасность не мешала бизнесу, а становилась его опорой.

Дата и время: 11 декабря 2025 года, 11:00 (МСК). Формат — онлайн.

Зарегистрироваться можно по этой ссылке.