СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
18.04.2025
#ИБ#Инфра

Расследование киберугроз: вредоносные кампании Proton66

Расследование киберугроз: вредоносные кампании Proton66

Источник: www.trustwave.com

Недавнее расследование вредоносных действий, связанных с интернет-платформой Proton66, раскрыло множество деталей о текущих киберугрозах. Киберпреступники, в частности, группа вымогателей SuperBlack и её партнёр Mora_001, активно используют различные вредоносные кампании, нацеленные на уязвимости пользователей.

Фишинговые атаки на пользователей Android

В ходе анализа стало известно, что взломанные сайты WordPress были нацелены на пользователей Android. Так, в феврале 2025 года на данных страницах были выявлены скрипты, перенаправлявшие пользователей на фишинговые домены, похожие на Google Play Store. Хакеры использовали:

  • Разнообразные соглашения об именовании для создания поддельных доменов (например, us-playmarket.com и playstors-france.com).
  • Методы обфускации и проверки для фильтрации нецелевых пользователей.

Эти меры свидетельствуют о сложном подходе к уклонению от обнаружения: скрипты, использованные хакерами, не были зафиксированы на VirusTotal.

Кампания XWorm и её тактика

Анализ также выявил общедоступный ZIP-архив в сети Proton66, содержащий ресурсы, связанные с вредоносной кампанией XWorm, нацеленную на корейскоязычных пользователей чата. Используя тактику социальной инженерии, хакеры создавали файлы быстрого доступа, которые выполняли команды PowerShell для:

  1. Запуска сценариев, загружающих библиотеку .NET DLL в кодировке Base64.
  2. Загрузки двоичного файла XWorm.

Доступная информация в архиве также указывала на возможное использование взломанного легитимного программного обеспечения для упрощения атак.

Strela Stealer и WeaXor

Отдельного внимания заслуживает вредоносная программа Strela Stealer, использовавшая услуги хостинга Proton66 в начале 2025 года для нацеливания на почтовые клиенты, такие как Mozilla Thunderbird и Microsoft Outlook. Программа:

  • Извлекает учетные данные электронной почты.
  • Участвует в целенаправленных фишинговых кампаниях, ведущих к определённому серверу управления.

Кроме того, была зафиксирована работа программы-вымогателя WeaXor, модифицированной версии Mallox, способной шифровать файлы с добавлением суффикса .wex. В записке с требованием выкупа указаны:

  • Уникальный идентификатор жертвы.
  • Сумма в 2000 долларов в криптовалюте за расшифровку данных.

Заключение

Использование хакерами широкого спектра скомпрометированных платформ и сложных методов перенаправления указывает на растущий уровень угроз. Эксперты в области кибербезопасности настоятельно призывают к принятию строгих защитных мер против диапазонов CIDR, связанных с Proton66, для снижения потенциальных рисков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: