Google рассказала о брокере, предоставляющем Conti готовый доступ к сетям

Google рассказала о брокере, предоставляющем Conti готовый доступ к сетям

Google рассказала о брокере, предоставляющем Conti готовый доступ к сетям

Специалисты Google по исследованию киберугроз (Threat Analysis Group, TAG) выявили тесные партнерские связи между операторами RaaS-сервиса Conti (шифровальщик как услуга) и группой хакеров, торгующей доступом к взломанным сетям.

Группировка, которую в TAG идентифицируют как Exotic Lily, привлекла внимание экспертов тем, что для получения первичного доступа применяла эксплойт CVE-2021-40444 — для критической уязвимости в браузерном движке MSHTML, который используют приложения Microsoft Office.

Патч на тот момент (сентябрь 2021) уже существовал, но обновления только начали раздаваться, и злоумышленники спешили опробовать новую лазейку, пока пользователи Windows ее не закрыли. Предприимчивые хакеры рассылали вредоносные письма; отправляя по 5 тыс. поддельных сообщений на адреса сотен организаций (аналитики в общей сложности насчитали 650 таких юрлиц).

Засеваемые с их помощью зловреды — кастомный загрузчик Bumblebee и модифицированный Cobalt Strike — помогали авторам мошеннических рассылок получить постоянный доступ к системам, открывающим вход в сети целевых компаний. Плоды своих усилий Exotic Lily выставляла на продажу, отдавая предпочтение покупателям, готовым щедро заплатить за уже открытую дверь.

Как оказалось, одним из постоянных клиентов брокера первичного доступа является банда Conti, связанная тесными узами с ботоводами TrickBot. Ее шифровальщики (в прошлом году появился также Diavol) неоднократно появлялись в сетях, вскрытых хакерами Exotic Lily. Вначале это были в основном медицинские учреждения и ИТ-компании, но со временем взломщики стали менее разборчивыми.

В своих рассылках Exotic Lily активно использует социальную инженерию — выступает от имени несуществующих компаний или вымышленных персонажей, подменяет домен отправителя (в большинстве случаев использует реальное имя домена, но в другой TLD-зоне).

Заявленных отправителей мошенники зачастую прописывают в Сети, создавая поддельные профили LinkedIn с фото, сгенерированными с помощью ИИ. Иногда отправителем числится реальный сотрудник известной компании — его ПДн хакеры добывают в соцсетях или PR-базах данных (RocketReach, CrunchBase).

Вступая в контакт с намеченной жертвой, злоумышленники предлагают рассмотреть привлекательное деловое предложение, а затем в ходе переписки подсовывают ей вредоносную ссылку. Полезную нагрузку Exotic Lily размещает на публичном файлообменнике (WeTransfer, TransferNow, OneDrive) и оттуда же отправляет заключительное письмо, используя встроенную функцию рассылки нотификаций о готовности поделиться контентом.

 

Когда документы с MHTML-эксплойтом стали терять эффективность, злоумышленники переключились на ISO-файлы со спрятанным BazarBackdoor, он же BazarLoader.

Анализ активности Exotic Lily показал, что хакеры работают по 9 часов в сутки и 5 дней в неделю. Часовой пояс — скорее всего Центральная или Восточная Европа.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

12 пиратских CDN кормят 90% онлайн-пиратов в России

Компания F6, специализирующаяся на технологиях борьбы с киберпреступностью, провела большое исследование онлайн-пиратства в России — и картина, скажем так, получилась живописная.

Как выяснилось, до 90% всего пиратского видеоконтента у нас «разливается» через 12 основных CDN — это такие себе видеобалансеры, которые доставляют «кино по подписке» без всяких подписок.

Причём хостятся эти схемы не в России, а в Нидерландах, США, Германии, Франции и на Украине — блокировать их сложно, а они только рады.

По данным F6, пиратский бизнес в рублёвом эквиваленте падает: за шесть лет доходы «теневого Netflix» снизились с $87 млн до $36 млн. Но вот объём пиратского контента — наоборот, растёт. Только в 2024 году было заблокировано 12,5 млн единиц контента — это почти на 42% больше, чем годом ранее. Заблокировано также 110 тысяч доменов, и это далеко не предел.

Кто разливает «пиратку» по Cети?

Вот топ любимых CDN у российских пиратов:

  • Alloha — 61% пиратских сайтов пользуются её услугами.
  • Rewall — 42%.
  • Lumex — 11%.
  • Kodik — 9%.
  • HDVB — 7%.

Одна такая платформа может хранить больше 550 тысяч видеофайлов — от фильмов до трейлеров. Всего в инфраструктуре крупнейших CDN — более 4400 доменов, включая плееры и потоковые адреса. Причём передача видео может идти не только через обычный HTTP, но и через WebSocket — например, так делают HDVB и Rewall.

Особая любовь у пиратов к доменной зоне .ru — 22,8% всех пиратских сайтов регистрируются именно там. Видимо, за простоту и копеечную стоимость регистрации.

Любителям бесплатного кино стоит быть осторожнее. Специалисты F6 проверили 500 популярных пиратских сайтов и выяснили, что почти 40% из них небезопасны — либо содержат вирусы, либо «дыры», либо уже в «чёрных списках» антивирусов и поисковиков.

И это неудивительно: веб-мастера гонятся за трафиком и деньгами, не особо заботясь о безопасности. А денег, между прочим, немало: 36% всей рекламы на пиратских ресурсах — это видеоролики in-stream, которые запускаются через партнёрские сети или прямо через CDN.

Почему блокировать одни сайты — мало

Сами сайты с фильмами — это лишь витрина. Настоящая «начинка» — это как раз те самые CDN, через которые и льётся весь поток. По словам Станислава Гончарова, главы департамента Digital Risk Protection компании F6, именно видеобалансеры — ключевые фигуры в пиратском бизнесе.

«Бороться с ними сложно, но возможно. Мы это уже показывали в 2019 году, когда после закрытия Moonwalk CDN обрушились ещё два крупных игрока — HDGO и Kodik. Тогда их база насчитывала 75 тысяч фильмов и сериалов, и они контролировали до 90% пиратских кинотеатров в России и СНГ», — напомнил Гончаров.

Сейчас вся собранная информация, включая технические детали и доказательства нарушений авторских прав, уже направлена в правоохранительные органы и регуляторам. Работа по зачистке продолжается, но пираты, как известно, живучи. Так что эта история ещё не закончена.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru