Исследователи из Talos, ИБ-подразделения Cisco, поделились с интернет-сообществом данными об активности эксплойт-пака RIG, собранными за сентябрь и октябрь 2015 года. Анализ показал, что 70% применяемых им эксплойтов хорошо детектируются антивирусами из коллекции VirusTotal и количество жертв RIG измеряется сотнями, а не тысячами, как в случае с лидером рынка Angler, однако этот криминальный инструмент продолжает успешно атаковать пользовательские Windows-машины, на которых установлен Internet Explorer.

RIG впервые засветился на радарах Cisco Talos в ноябре 2013 года. Эксперты отмечают, что операторы этого эксплойт-пака активно используют редиректы, обычно в виде вредоносных iFrame или рекламных баннеров. Лендинг-страницы RIG, по свидетельству Cisco, сильно обфусцированы, на них мало англоязычного текста, обычно наблюдаемого у других эксплойт-паков.

Исполняемые файлы RIG обычно замаскированы под легитимные сервисы Windows, такие как defsrag, dissdkchk или systemrestore, но при этом загружаются во временные папки жертвы. Примечательно, что целевая нагрузка доставляется жертве по отдельному GET-запросу, а не вместе с эксплойтом или скрытно вслед за ним.

Собранные за два месяца данные показали, что операторы RIG освоили технику затенения доменов (domain shadowing), ранее наблюдавшуюся у Angler, и в настоящее время полагаются лишь на нее. Регистрируемые злоумышленниками поддомены имеют очень короткие имена — обычно admin, user, news, server или произвольные qwe21 и htr43. За несколько месяцев исследователи обнаружили более 7 тыс. таких поддоменов с низкой, но равномерно распределенной активностью.

В цепочках редиректов, используемых RIG, обязательно присутствовали ресурсы Google и Bing — эту тактику Cisco ранее обнаружила у другого эксплойт-пака, Nuclear. В целом за два месяца эксперты насчитали свыше 60 уникальных рефереров, однако количество таких записей в логах было невелико, менее пяти на каждом сервере.

В наблюдаемый период RIG использовал в основном Flash-эксплойты, отдавая предпочтение CVE-2015-5119. Совокупно исследователи зафиксировали 30 уникальных хэшей; 70% из них уже проверялись на VirusTotal и детектируются антивирусами. Примечательно, что в настоящее время RIG используется исключительно для засева спам-ботов — чаще всего Tofsee, тогда как многие его собратья ныне доставляют криптоблокеров.

Лендинг-страницы RIG были обнаружены на 44 IP-адресах, 43 из них принадлежат одному и тому же AS-провайдеру — российской компании Webzilla (AS35415). Как оказалось, все они выделены московскому хостеру Eurobyte. Cisco связалась с обоими провайдерами, и Webzilla успешно идентифицировал и заблокировал провинившиеся хосты. Eurobyte, к сожалению, никак не отреагировал на сообщение исследователей, в итоге злоумышленники просто перенесли свои серверы на другие IP.

Посетовав, что с крупными провайдерами всегда проще иметь дело, чем с их клиентами, команда Talos призвала на помощь партнеров из OpenDNS, чтобы получить полное представление о вредоносной активности на IP-адресах Eurobyte. Как оказалось, в ведении этого хостинг-провайдера находятся семь сетей класса C, одна из них — его корпоративная сеть. По данным OpenDNS, в этом адресном пространстве размещены примерно 25 тыс. доменов, в основном .RU. Активность RIG была обнаружена в трех блоках /24, хотя репутационные фильтры Cisco забраковали также еще два. Единственным чистым блоком оказался тот, который использует российский платежный сервис E-AutoPay.

Список блоков адресов Eurobyte, в которых обнаружена вредоносная активность:

  • 46.30.42.0/24;
  • 46.30.43.0/24;
  • 46.30.44.0/24;
  • 46.30.45.0/24;
  • 46.30.46.0/24.

Поскольку Eurobyte продолжала упорно игнорировать уведомления партнеров по исследованию, пять блоков ее адресов были занесены в черный список Cisco (OpenDNS сделала это еще до обращения Talos). Через месяц исследователи планируют произвести новую проверку, чтобы продлить или отменить этот бан для своих клиентов.

Категории: Аналитика, Вредоносные программы, Главное