Fiesta возвращается: Хакеры вновь используют набор эксплоитов для заражения машин на базе Windows

Как  сообщил  исследователь безопасности компании Rackspace Брэд Данкан (Brad Duncan), одна из хакерских группировок вновь использует набор эксплоитов Fiesta для инфицирования компьютеров под управлением ОС Windows. На этот раз злоумышленники применяют сложную систему, затрудняющую обнаружение эксплоитов.

В настоящее время группа, которую эксперт назвал «BizCN gate actor», использует для инфицирования шлюз, пропускающий трафик со взломанных web-сайтов на вредоносный домен Fiesta EK. Все доменные шлюзы зарегистрированы китайским регистратором bizcn.com. и привязаны к единственному IP-адресу.

По словам Данкана, специалистам будет нелегко отследить вредоносный трафик со скомпрометированных группировкой интернет-ресурсов. Чаще всего, HTTP GET-запросы к доменному шлюзу возвращаются с ошибкой 404 Not Found. В некоторых случаях доменный шлюз может вообще не появиться в трафике.

Специалист отметил, что злоумышленники изредка меняют IP-адреса доменных шлюзов, каждый из которых соответствует скомпрометированному сайту, и, скорее всего, будут вынуждены это сделать еще раз после публикации списка уязвимых ресурсов, обнаруженных Данканом.