Организаторы вредоносной кампании EITest сменили Angler на Neutrino

Вредоносная кампания EITest активна на протяжении двух лет, и за это время ее организаторы неоднократно меняли способы распространения вредоносного ПО. Проанализировав майские атаки, исследователи ISC SANS  заметили , что EITest вновь эволюционировала. По словам эксперта Брэда Данкана (Brad Duncan), если ранее вредоносные программы распространялись в наборе эксплоитов Angler, то сейчас для данных целей используется эксплоит-кит Neutrino.

Первые атаки в рамках кампании EITest были зафиксированы экспертами компании Malwarebytes в июле 2014 года. В ходе атак злоумышленники используют тысячи взломанных сайтов, на которые внедряют скрипт-редиректор на базе Flash для распространения различных вредоносов, в частности многофункционального бэкдора Gootkit. Во избежание попадания в черные списки атакующие используют бесплатные DNS-сервисы для регистрации поддоменов с целью создания «одноразовых» URL.

По словам Данкана, в настоящее время шлюзы Neutrino размещены в блоке 85.93.0.0/24. «В качестве TLD эти шлюзовые домены чаще всего используют .tk, однако на этой неделе мы зафиксировали использование доменов .co.uk», - отметил исследователь.

При помощи одного из скомпрометироанных сайтов Данкан создал две цепи инфицирования. В обоих случаях применялась версия Adobe Flash Player 20.0.0.306, подверженная уязвимости CVE-2016-1019 . Ее эксплуатация может привести к отказу в работе или позволить удаленное выполнение кода.

Специалисты Palo Alto Networks также наблюдают за ходом кампании EITest. В марте нынешнего года исследователи заметили, что шлюз изредка меняет IP-адрес, TLD-зоны при этом остаются неизменными (.tk, .uk, .com).