Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Расследование вредоносной инфраструктуры: IP-адреса и ASN

1
2 мин
В последние месяцы наблюдается рост инцидентов, связанных с инфокрадами, что требует серьезного внимания со стороны специалистов в области кибербезопасности. Недавнее расследование, проведенное аналитиком threat intelligence, направлено на уточнение структуры вредоносной инфраструктуры. Основное внимание уделяется IP-адресу 185.215.113.16 и подозреваемому хакеру, связанному с различными инфокрадами, использующему AS51381 (1337team Limited). Начало анализа было положено теорией о том, что хакер эксплуатирует определенную инфраструктуру. В рамках исследования использовалось новое правило, которое привело к следующим результатам: Дальнейшее изучение показало, что некоторые вредоносные файлы обмениваются данными с IP-адресами в нескольких ASN. Это может свидетельствовать о следующем: Следуя за одним из IP-адресов из первоначальной гипотезы, аналитик сосредоточил внимание на вредоносном файле с именем «cajubae». В ходе анализа были обнаружены множество IP-адресов, зарегистрированных в Корее
Оглавление
Источник: intelinsights.substack.com
Источник: intelinsights.substack.com

В последние месяцы наблюдается рост инцидентов, связанных с инфокрадами, что требует серьезного внимания со стороны специалистов в области кибербезопасности. Недавнее расследование, проведенное аналитиком threat intelligence, направлено на уточнение структуры вредоносной инфраструктуры. Основное внимание уделяется IP-адресу 185.215.113.16 и подозреваемому хакеру, связанному с различными инфокрадами, использующему AS51381 (1337team Limited).

Методология исследования

Начало анализа было положено теорией о том, что хакер эксплуатирует определенную инфраструктуру. В рамках исследования использовалось новое правило, которое привело к следующим результатам:

  • Обнаружение 20 связанных с инфокрадами результатов;
  • Выявление вредоносных программ, таких как Amadey и Smoke loaders (включая Redline, Lumma, MarsStealer, Stealc);
  • Подтверждение успешности расследования.

Выявление сложной структуры инфраструктуры

Дальнейшее изучение показало, что некоторые вредоносные файлы обмениваются данными с IP-адресами в нескольких ASN. Это может свидетельствовать о следующем:

  • Использование нескольких хакеров для развертывания инфраструктуры;
  • Конкретный хакер применяет инфраструктуру у нескольких провайдеров.

Фокусировка на новых ASN и IP-адресах

Следуя за одним из IP-адресов из первоначальной гипотезы, аналитик сосредоточил внимание на вредоносном файле с именем «cajubae». В ходе анализа были обнаружены множество IP-адресов, зарегистрированных в Корее. Это позволило сосредоточиться на AS 3786 и AS 4766, что привело к таким выводам:

  • Низкий уровень обнаружения вредоносных файлов;
  • Отсутствие обнаружения в сканировании недавно идентифицированных IP-адресов;
  • Последние разрешения DNS на вредоносные домены указывают на потенциальные новые кластеры вредоносной инфраструктуры.

Будущие направления исследований

Методологии, примененные в расследовании, могут быть эффективно использованы для фильтрации IP-адресов в кластере Мексики, что также приведет к новым обнаружениям. Кроме того, аналитик отметил повторяющийся домен niksplus.ru, который разрешается на несколько IP-адресов. Это является экспертом признаком использования методов быстрого потока и может открыть новые пути для дальнейшего исследования.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Расследование вредоносной инфраструктуры: IP-адреса и ASN".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Гаджеты и электроника
5,73 млн интересуются