С 8 января специалисты из Trustwave SpiderLabs заметили увеличение сканирования, попыток взлома и использование уязвимостей с IP-адресов российской компании Proton66. Они также выявили серверы для управления вредоносным программным обеспечением в их сети.
Эксперты считают, что Proton66, а также другая российская компания, Prospero, могут предоставлять услуги bulletproof-хостинга, которые рекламируются в скрытой части интернета под именами Securehost и BEARHOST.
Сеть AS198953, принадлежащая Proton66, включает в себя пять блоков IP-адресов, которые находятся в черных списках организаций, борющихся за чистоту интернета. С января по март вредоносная активность была замечена на двух из них, и чаще всего атаковались финансовые и IT-компании.
Были обнаружены уязвимости, которые злоумышленники пытались использовать, такие как обход аутентификации в различных системах безопасности различных компаний. Некоторые из них использовались для атак на сеть шифровальщика SuperBlack.
Один из IP-адресов Proton66 использовался для направления пользователей WordPress на поддельные страницы магазина Google Play. Вредоносные JavaScript-инъекции, направленные на Android-устройства, ранее размещались на московском сервере, но теперь перенесены на хостинг в Гонконге.
В сети Proton66 также были обнаружены серверы для управления вредоносным ПО, такие как XWorm, StrelaStealer, WeaXor и другие.
© KiberSec.ru – 22.04.2025, обновлено 22.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
