Команда ELITETEAM превратила Сейшельские острова в центр киберпреступности

Команда ELITETEAM превратила Сейшельские острова в центр киберпреступности
Команда ELITETEAM превратила Сейшельские острова в центр киберпреступности

Сеть данного хостинг-провайдера использовалась для проведения нелегальных операций и осуществления финансовых афер.

Специалисты из Knownsec 404 обнаружили обширную сеть хостинг-провайдера ELITETEAM, который предоставляет инфраструктуру для киберпреступников. Эти услуги дают злоумышленникам возможность избегать правового контроля и поддерживать работу вредоносных программ, фальшивых сайтов, рассылки спама и других противоправных действий.

Эксперты отмечают, что «пуленепробиваемые» хостинги создают значительную угрозу мировой кибербезопасности, поскольку они действуют в условиях слабого правового регулирования и обладают высокой стойкостью к правовым мерам.

По данным отчёта, ELITETEAM была зарегистрирована на Сейшельских островах в ноябре 2020 года под названием «1337TEAM LIMITED». Этот провайдер управляет автономной системой AS51381 и предоставляет услуги, связанные с размещением фишинговых сайтов, вредоносного программного обеспечения, серверов управления ботнетами, а также инфраструктуры для криптовалютных мошенничеств. Подобные провайдеры намеренно выбирают юрисдикции с ослабленным законодательным регулированием.

По данным исследования Interisle о фишинговых сетях за 2021 год, только один сегмент сети ELITETEAM с 256 IP-адресами занял восьмое место в мире по количеству вредоносной активности. На платформе VirusTotal все 256 IP-адресов в сети ELITETEAM были отмечены как вредоносные, что подтверждает их активное использование в кибератаках. На платформе ThreatFox несколько IP-адресов в 2024 году были отмечены индикаторами компрометации (IOC) таких вредоносных программ, как Amadey и RedLine, что свидетельствует об их применении для фишинговых атак и распространения вредоносного ПО.

Специалисты Cloudflare обнаружили, что IP-адреса ELITETEAM активно используются для взлома WordPress-сайтов. Атаки нацелены на страницы авторизации и интерфейсы XML-RPC, где злоумышленники пытаются эксплуатировать уязвимости для получения доступа к системам.

Trend Micro установила связь инфраструктуры ELITETEAM с распространением программ-вымогателей Quakbot и Emotet. Только в первом квартале 2023 года было зафиксировано 200 тысяч случаев вредоносного трафика, связанного с инфраструктурой ELITETEAM; 140 тысяч из них зарегистрированы на Сейшельских островах. Эти программы использовались для шифрования данных корпоративных сетей с целью вымогательства.

Инфраструктура ELITETEAM также использовалась для поддержки криптовалютных мошенничеств на теневом рынке Hydra, обеспечивая проведение незаконных транзакций и отмывание денег. Эти действия привлекли внимание Интерпола, который направил несколько запросов на расследование деятельности компании.

Анализ данных о сегменте сети 185.215.113.0/24 через платформу ZoomEye выявил его ключевые характеристики: открытые порты для удалённого доступа (22/3389), веб-сервисы (80/443), спам (25/465/587), а также C2-сервера (7766). Десять IP-адресов из этого сегмента имеют открытые почтовые порты, что может указывать на их использование для рассылки спама. Кроме того, уникальные SSL-отпечатки и HTTP-контент подтверждают, что сеть служит для координации кибератак.

Исследование позволило связать подсеть 185.208.158.0/24 с основным сегментом ELITETEAM. Из 256 адресов этой подсети 95 отмечены как вредоносные. Обе сети зарегистрированы на Сейшельских островах и имеют техническую связь через общие SSL-сертификаты. Восемь IP-адресов из обеих сетей использовали идентичные SSL-отпечатки в период с сентября по ноябрь 2024 года, что указывает на контроль одной хакерской группой.

Детальный анализ выявил пять подозрительных IP-адресов: 185.208.158.114, 185.208.158.115, 77.91.68.21, 147.45.47.102 и 109.107.182.45. Эти адреса выделены благодаря уникальным характеристикам SSL-сертификатов и HTTP-контента. Например, отпечаток SSL-сертификата C416E381FAF98A7E6D5B5EC34F1774B728924BD8 встречался как в подсети 185.208.158.0/24, так и в основной сети ELITETEAM.

Эксперты отмечают, что деятельность подобных хостинг-провайдеров создаёт благоприятные условия для киберпреступников. С 2015 года группа APT28 провела более 80 атак, используя пуленепробиваемые хостинги для фишинга, кражи данных и шпионажа. Размещение инфраструктуры в странах с мягким регулированием позволяет злоумышленникам избегать преследования и продолжать операции в долгосрочной перспективе.

 

Страница для печати  

Другие новости по теме:

Роскомнадзор нашeл «стопроцентный» способ блокировки Telegram
Раскрыта опасность покупок через интернет
В Раде предлагают обязать интернет-провайдеров собирать данные о деятельности пользователей, как в России
Компания из США помогает властям Беларуси фильтровать интернет, - Bloomberg
Россия реализовала задачу считывания трафика любого пользователя в интернете, — американский IT-бизнесмен Майкл Талан
Сообщения не отправляются. Пользователи Telegram по всему миру жалуются на неполадки
«Отбеливатель» для Тимофея Кургина
Bloomberg: Компания, продавшая Беларуси технику для блокировки Интернета, отменила сделку
Доверие россиян к телевидению упало до минимума с 2016 года
Фанаты Зеленского в соцсетях – сколько получают боты президента
В компании Opera открыли вакансию искателя мемов с окладом €8 тысяч
В России студент обучается онлайн, сидя на березе, — иначе интернет «не берет»

Комментарии:

comments powered by Disqus
20:09 В аэропорту Бразилии в самолет попала молния
20:03 В Греции выборы президента были перенесены на второй тур
20:00 В газете сообщается, что ХАМАС восстанавливает свои силы, привлекая тысячи новых бойцов
19:54 В Беларуси запретили множество книг из-за "угрозы национальным интересам"
19:45 Путин вручил медаль и освободил депутата из Якутии, обвиненного в насилии
19:36 Швейные фабрики Gloria Jeans в Ростовской области останавливают свою деятельность
Мы в телеграм. Подписывайтесь на канал с оперативными новостями
19:30 Житель Пермского края получил наказание за публикации о Крымском мосте
19:24 Бандит из Мурманска сбежал из тюрьмы в "ДНР" после принятия религии
19:15 Основателя курорта на Бали обвиняют в строительстве на рисовых полях
19:00 В Санкт-Петербурге участница тренинга по переговорам обвинила коллегу в изнасиловании
18:51 Яков Желонкин и его "громкие проекты": банк ВТБ теряет средства на неэффективных инновациях
18:45 Российское правительство заявляет, что откачка мазута из танкеров в Керченском проливе завершена
18:36 Заложницы ХАМАС вернулись в Израиль и встретились со своими семьями
18:30 Полковников МВД Приморья наказали за неправильное ношение формы
18:09 Израиль выпустил 200 палестинских заключённых в рамках соглашения по освобождению заложников
18:03 В Канаде у мужчины во время драки его половой орган примерз к асфальту
17:54 Крыса устроила "диверсию" на электростанции в Абакане, столице Хакасии
17:45 Немецкий инженер установил рекорд по длительности пребывания под водой
17:36 Подросток в Алтайском крае пытался совершить самоубийство после отказа матери отпустить его на войну
17:30 Почти треть российских компаний не предоставляет финансовую отчетность в ФНС
17:24 Помощь США Украине в военной области продолжается
17:12 ХАМАС передал Красному Кресту четырех женщин, похищенных во время нападения на Израиль
17:03 Компании «Метро МИР» и «СпецТрансСтрой» были уличены в нарушении антимонопольного законодательства в Новосибирске
16:54 Сможет ли Трамп более успешно, чем Байден, противостоять доходам России от продажи нефти?
16:45 По информации, компания "Хотьковский автомост" может потерять контракт на строительство моста в Бурятии
16:36 В Краснодаре подростки из организованной преступной группы снова совершают нападения на людей и разрушают общественные места
16:30 Наводнение в Бразилии привело к гибели почти ста человек
16:21 Загрязнение пляжей заставляет владельцев гостиниц в Анапе торопиться с продажей своей недвижимости
16:09 Вячеслав Дайчев, супруг певицы Алексы, оказался в черном списке налоговых органов
16:03 В Крыму введены новые меры безопасности
15:54 Министр здравоохранения Камчатки был отправлен в отставку из-за вспышки гепатита
15:45 Китай столкнулся с пробками и очередями накануне празднования Нового года
15:33 В Белоруссии ограничили доступ к интернету накануне президентских выборов
15:27 Португальского политика исключили из партии из-за обвинений в краже чемоданов
15:21 Китайский искусственный интеллект Deepseek обещает революцию в области искусственного интеллекта
15:15 Минприроды обещает к лету очистить пляжи Краснодарского края от мазута
15:09 Трамп подтвердил свои намерения относительно Гренландии в беседе с премьер-министром Дании Метте Фредериксен
15:03 США переименовали Мексиканский залив в Залив Америки
14:57 В Бельгии подростка обвинили в подготовке теракта
14:51 Самолет "Аэрофлота" прибыл в Египет с пятиметровым тросом на борту