Швейцарский активист обнаружил пристанище RAT-троянов

10 апреля 2018 г., вторник

В ходе самостоятельного расследования специалист обнаружил хостинг C&C вредоносных бот-сетей.

Оператор швейцарского сайта Abuse.ch, специализирующегося на отслеживании ключевых узлов ботнетов и вредоносного ПО, обнаружил, что хостинг командных серверов RAT-трояна Qrypter и бэкдора Adwind организован одинаково и, скорее всего, одними и теми же людьми. Об этом эксперт подробно рассказал в блоге портала.

Кросс-платформенный модульный вредонос Adwind, предлагаемый на черном рынке в качестве арендуемого сервиса, уже более пяти лет используется в атаках по всему миру для слежки за пользователями и кражи персональной информации. Распространяется он чаще всего через спам, имитирующий деловую переписку.

Как выяснил эксперт, прошлогодний всплеск активности Adwind связан с тем же хостингом, который используется для управления RAT-трояном Qrypter, предоставляемым в пользование по модели malware-as-a-service («зловред как услуга»). MaaS-платформа Qrypter размещена в сети Tor, что позволяет уберечь ее от блокировки и повысить жизнеспособность. Однако командные серверы ботнета расположены в правовом сегменте Интернета, как и в случае с Adwind.

По данным Abuse.ch, контроллеры Adwind — а их на настоящий момент выявлено более 2,8 тыс. — находятся главным образом в США, Нидерландах и Великобритании. Как оказалось, большинство этих C&C размещены у хостеров AnMaXX и Gerber EDV-Dienstleistungen. Как выяснил эксперт, у обеих фирм одинаковый IP и почтовый сервер. Более того, все диапазоны сетей, связанные с Qrypter, помечены как «Gerber non logging VPN Service». Однако ни у Gerber, которая якобы предоставляет услуги анонимного VPN-сервиса и имеет собственное доменное имя, ни у AnMaXX официальных сайтов нет.

Это обстоятельство насторожило исследователя, и он решил посетить офис компании Gerber EDV-Dienstleistungen в Швейцарии и установить причину злоупотреблений, связанных с Adwind и Qrypter. Однако по адресу в Берне, указанному в региональном реестре RIPE, обнаружилось красивое старое здание, в котором не было фирмы с таким названием. Предположив, что офис мог переехать в другое место, исследователь поискал компанию в базе коммерческих предприятий Федерального управления юстиции Швейцарии, но и там ее не нашел.

Активист пришел к выводу, что и Gerber, и AnMaXX — фейковые фирмы, созданные одними и теми же людьми. «Их единственная цель — обеспечить ботнет-хостинг для MaaS Qrypter и других RAT-троянов, таких как NanoCore и RemcosRAT», — заключил исследователь.

Всем владельцам сетей и системным администраторам специалист настоятельно рекомендует заблокировать любой входящий и исходящий трафик для блоков IP-адресов, имеющих отношение к Gerber EDV, AnMaXX и rivavpn.com.

Threatpost