Исследователи из Proofpoint обнаружили новую инфраструктуру, обеспечивающую динамическую перерегистрацию IP-адресов (fast flux) для сокрытия вредоносной активности.

Эксперты наблюдают SandiFlux, как они называют это новообразование, с декабря. По их словам, последнее время данная бот-сеть активно используется для проксирования трафика, ассоциируемого с вымогательским ПО GandCrab.

Аналогичные услуги предлагают операторы Dark Cloud, он же Fluxxy, — многоцелевого ботнета, за деятельностью которого в Proofpoint следят с 2014 года. Эта инфраструктура позволяет быстро и в автоматическом режиме менять IP-адреса, домены и даже DNS-серверы, чтобы продлить жизнь мошеннических сайтов, вредоносных площадок и C&C-серверов.

Ботнет Dark Cloud широко используют кардеры, операторы эксплойт-паков, авторы malvertising-кампаний, спамеры, фишеры, ботоводы и операторы вредоносных программ — например, даунлоудера Furtim, он же SFG.

Ныне, согласно Proofpoint, некоторые из этих злоумышленников начали откочевывать на SandiFlux. Так, в феврале новую возможность опробовал распространитель zloader — автор вредоносных кампаний, которого исследователи условно называют TA547. В ноябре этот злоумышленник, согласно наблюдениям, использовал инфраструктуру Dark Cloud.

В марте к новым услугам fast flux обратился спамер TA505, который до недавнего времени продвигал сети нелицензированных интернет-аптек с помощью Dark Cloud, а теперь подрядился распространять GandCrab.

Анализ данных о географическом местоположении новоявленного ботнета fast flux показал, что большинство скомпрометированных хостов находятся в Румынии и Болгарии (46,4 и 21,3% соответственно), остальные — в других странах Западной Европы, в Африке, Южной Азии и на Ближнем Востоке.

Узлы Dark Cloud располагаются на Украине (77,4%) и в России (14,5%), и ни одного совпадения с SandiFlux обнаружить не удалось.

Вместе с тем исследователи не берутся утверждать, что эти инфраструктуры не связаны. Напротив, в Proofpoint предполагают, что оператор у Dark Cloud и SandiFlux один — он мог попросту разделить свои активы, чтобы облегчить эксплуатацию.

Категории: Аналитика, Вредоносные программы