Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Пуленепробиваемые хостинги и распространение сложных кибератак

2
3 мин
Недавний глубокий анализ сетевой инфраструктуры, связанной с высокочастотными кибератаками, выявил ряд важных закономерностей и участников, которые играют ключевую роль в поддержке масштабных вредоносных кампаний. В центре внимания оказались две автономные системы — Skynet Network Ltd (AS214295) и Inside Network LTD (AS215476), которые управляются хостинг-провайдером BtHoster. Их пуленепробиваемая инфраструктура и мощные massscan-серверы позволяют обрабатывать свыше 1 300 000 пакетов в секунду, делая их критически важными звеньями в цепи современных кибератак. Обе упомянутые сети базируются в Великобритании, но для маршрутизации трафика используют вышестоящего провайдера UAB Host Baltic (AS209605), находящегося в Литве. В данной сети обнаружено множество вариантов ботнета Mirai и серверов управления вредоносными программами (C2), таких как Cobalt Strike и Moobot. Такая инфраструктурная взаимосвязь существенно повышает сложность и скрытность вредоносных операций. В сети UAB Host Baltic
Оглавление

Недавний глубокий анализ сетевой инфраструктуры, связанной с высокочастотными кибератаками, выявил ряд важных закономерностей и участников, которые играют ключевую роль в поддержке масштабных вредоносных кампаний. В центре внимания оказались две автономные системы — Skynet Network Ltd (AS214295) и Inside Network LTD (AS215476), которые управляются хостинг-провайдером BtHoster. Их пуленепробиваемая инфраструктура и мощные massscan-серверы позволяют обрабатывать свыше 1 300 000 пакетов в секунду, делая их критически важными звеньями в цепи современных кибератак.

Основные игроки и их инфраструктура

Обе упомянутые сети базируются в Великобритании, но для маршрутизации трафика используют вышестоящего провайдера UAB Host Baltic (AS209605), находящегося в Литве. В данной сети обнаружено множество вариантов ботнета Mirai и серверов управления вредоносными программами (C2), таких как Cobalt Strike и Moobot. Такая инфраструктурная взаимосвязь существенно повышает сложность и скрытность вредоносных операций.

Выявленные ключевые особенности и активность:

  • Skynet Network Ltd за последний месяц зафиксировала более миллиона атак на системы honeypot;
  • Активные попытки входа методом bruteforce;
  • Интенсивное сканирование сетей для выявления уязвимостей;
  • Развертывание различных видов вредоносного ПО;
  • Использование префиксов из иранских сетей для маскировки источников атак.

Сложные сетевые взаимодействия и злоупотребления BGP

В сети UAB Host Baltic и связанных с ней организациях зафиксированы опасные соединения, свидетельствующие о перехвате BGP и подозрительных изменениях в ASN. Это вызывает серьезную обеспокоенность среди специалистов по кибербезопасности, поскольку позволяет мошенникам «перебрасывать» трафик, обходя фильтры и усложняя обнаружение.

Кроме того, операции включают тесное сотрудничество с другими зарекомендовавшими себя защищенными хостинг-провайдерами, такими как SS-Net и 4Vendeta. Это указывает на скоординированные усилия по уклонению от обнаружения и поддержку инфраструктуры, нацеленной на вредоносную деятельность.

Роль кипрской компании IT HOSTLINE LTD

Отдельно стоит выделить участие кипрской компании IT HOSTLINE LTD, которая предоставляет IPv4-префиксы нескольким вредоносным сетям. Эти сети ассоциируются с деятельностью, спонсируемой российским государством, включая известные кибероперации, такие как Gamaredon и программы-вымогатели.

Взаимосвязанность компаний и совместное использование инфраструктуры свидетельствуют о коллективном характере современной киберпреступной деятельности. Пиринговые соглашения и совместное использование «пуленепробиваемых» ресурсов позволяют хакерам эффективно реализовывать атаки:

  • Фишинг и социальная инженерия;
  • Вторжения методами «грубой силы» (bruteforce) в корпоративные сети;
  • Поддержка и распространение программ-вымогателей.

Важность постоянного мониторинга и упреждающих мер

Данная ситуация показывает необходимость постоянного мониторинга и комплексного анализа меняющейся инфраструктуры угроз. Крайне важно отслеживать адаптацию и перемещение пуленепробиваемых хостинг-сетей, чтобы своевременно предотвращать потенциальные атаки.

Ключевые рекомендации:

  • Блокирование доступа из пуленепробиваемых хостинговых сетей на этапе первичных попыток доступа;
  • Усиление мониторинга активности, связанной с операторами программ-вымогателей и посредниками доступа;
  • Внедрение проактивных упреждающих мер на уровне сетевой инфраструктуры.

Современный ландшафт киберугроз требует не только технических инноваций, но и тесного сотрудничества международного сообщества аналитиков и специалистов в области кибербезопасности для эффективной борьбы с постоянно эволюционирующими методами злоумышленников.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Пуленепробиваемые хостинги и распространение сложных кибератак".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.