OMEGATECH: новая пуленепробиваемая сеть и 16 семейств вредоносного ПО
Новое исследование инфраструктуры OMEGATECH показывает, что недавно созданная bulletproof hosting-сеть уже стала площадкой для масштабной вредоносной активности. По данным отчета, в центре этой экосистемы находится AS202412, зарегистрированный примерно три месяца назад и использующий подсеть 158.94.210.0/24 как основную зону размещения C2-операций.
Что обнаружили исследователи
Анализ показал, что в указанной подсети зафиксировано 67 различных действий C2, связанных с 16 семействами malware. Среди них — хорошо известные угрозы Remcos, AsyncRAT и Amadey. Такая концентрация инфраструктуры указывает не на единичные инциденты, а на устойчивую платформу для одновременного управления несколькими вредоносными кампаниями.
Особое внимание в отчете уделяется Amadey. Ботнет функционирует через панель C2 по адресу 158.94.210.91 и используется не только как вредоносное ПО, но и как loader, который облегчает дальнейшие атаки. Отдельно отмечается русскоязычный интерфейс, что может указывать на основную операционную среду злоумышленников.
Функциональность Amadey
Amadey оснащен credential-stealing plugin, предназначенным для кражи учетных данных из различных приложений, включая:
- web browsers;
- email clients.
Такая функциональность делает его особенно опасным: ботнет не только обеспечивает доступ к зараженным системам, но и помогает злоумышленникам собирать учетные данные для последующего расширения атаки.
Роль инфраструктуры Pfcloud UG
Инфраструктура, на которой размещены эти операции, поддерживается компанией Pfcloud UG. В отчете она описывается как провайдер, связанный с услугами bulletproof hosting и юрисдикцией, которая снижает эффективность международных правоохранительных действий.
По мнению авторов исследования, именно такая модель размещения позволяет OMEGATECH сохранять устойчивость даже при отключении отдельных серверов C2. Иными словами, точечная блокировка отдельных узлов не решает проблему полностью: значительный эффект может дать только ограничение на уровне ASN.
Почему блокировка на уровне ASN важнее
Отчет подчеркивает, что архитектура OMEGATECH выстроена таким образом, чтобы выдерживать частичные отключения и сохранять работоспособность всей вредоносной экосистемы. Поэтому block at ASN level способен нарушить сразу весь спектр операций, а не только работу отдельного сервера.
Это особенно важно в случае инфраструктуры, которая используется для:
- координации нескольких семейств malware;
- развертывания C2-панелей;
- распространения loader-компонентов;
- кражи credentials.
Инструменты для обнаружения угроз
Для защиты и реагирования в отчете указаны специальные средства обнаружения: YARA rules и Suricata signatures, ориентированные на панель Amadey и связанный с ней credential stealer внутри сети OMEGATECH.
«Этот многогранный подход к обнаружению угроз подчеркивает необходимость мониторинга и противодействия действиям таких организаций, как OMEGATECH, которые используют недавно созданные ASN для эффективного сокрытия и распространения вредоносных действий».
Вывод
Ситуация вокруг OMEGATECH демонстрирует, что новые ASN и bulletproof hosting-площадки могут быстро превращаться в инфраструктурный хаб для целого набора malware-кампаний. Для defenders это означает необходимость не только отслеживать отдельные C2-узлы, но и анализировать сетевую архитектуру в целом — от подсетей до уровня ASN.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
