Wie die Betrüger von Runet auf Coronavirus reagierten

Nach einem Hinweis darauf, welche Formen von Cyberthreats im Zusammenhang mit Coronaviren auftreten, beschloss ich, zu untersuchen, wie das russische Internet auf eine Pandemie reagiert und was mit Cyberthreats in unserem Land passiert, nämlich Phishing und betrügerische Websites.



Als Ausgangspunkt habe ich begonnen, unseren DNS-Überwachungs- und Schutzdienst Cisco Umbrella zu nutzen , der täglich mehr als 150 Milliarden DNS-Anfragen verarbeitet und auf Malware analysiert. Mit dem Cisco Umbrella Investigate Investigation Tool wollte ich zunächst überprüfen, wie aktiv Domänen erstellt werden, deren Namen die Schlüsselwörter "covid" und "coronavirus" verwenden. In den letzten 7 Tagen wurde Folgendes angezeigt:

- 257 Domains mit "Coronavirus", von denen 170 als bösartig eingestuft wurden



- 271 Domains mit "covid", von denen 121



- 349 Domains mit "mask" als bösartig eingestuft wurden (und deren Anzahl ständig wächst) , von denen nur 9 als bösartig und 1 als Phishing eingestuft werden.



Die Klassifizierung bösartiger Domänen ist noch vorläufig, da viele Domänen nur registriert sind, aber noch nicht von Cyberkriminellen verwendet werden.



Nehmen Sie zum Beispiel die Domäne covid19-russia [.] Ru und versuchen Sie, eine Blitzuntersuchung durchzuführen:



Die Domäne wurde am 17. März registriert, was im Allgemeinen nicht überraschend ist und in diesem speziellen Fall keinen Verdacht erregen sollte, wie in anderen Fällen, in denen das Datum der Erstellung der Domäne liegt Ein sehr wichtiger Indikator für die Erkennung böswilliger Aktivitäten. Bei einer Coronavirus-Pandemie ist schwer zu erwarten, was letztes Jahr oder früher darüber bekannt war. Daher wurden die dem Coronavirus zugewiesenen Domänen erst jetzt angezeigt.



Schauen wir uns die IP-Adresse an, an der diese Domain hängt. Wie wir sehen können, ist es auch ein Zufluchtsort für eine Reihe von Domänen, von denen einige mit der aktuellen Pandemie verbunden sind:



Und wir haben dieselbe Adresse für eine Reihe von Schadprogrammen, die sich entweder von der angegebenen IP-Adresse oder von Websites, die daran hängen, verbreiten, oder Sie verwenden diese Adresse als Kill-Schalter oder als Befehlsserver, der die entsprechenden Befehle sendet und Antworten von Opfern empfängt, die mit bösartigem Code infiziert sind. Als erstes in der Liste der mit der angegebenen IP verbundenen böswilligen Beispiele sehen wir Emotet, das bereits im vorherigen Artikel erwähnt wurde:



Dieses Beispiel wird in anderen Kampagnen verwendet, gemessen an der Analyse der Netzwerkinteraktion:



Wenn Sie einen anderen Cisco-Dienst verwenden, nämlich die SandboxCisco Threat Grid , dann können wir detailliertere Informationen zu diesem Beispiel erhalten, z. B. eine detaillierte Liste von Verhaltensindikatoren, die in diesem Fall „funktioniert“ haben:



Analyse der Prozesse, die im Rahmen der Arbeit von Emotet auf dem Computer des Opfers gestartet wurden: Das



verstehen wir in diesem Beispiel In diesem Fall handelte es sich um ein MS Word-Dokument, das von einem Opfer empfangen / heruntergeladen wurde, das mit der von uns untersuchten IP-Adresse und Domäne interagierte:



Falls erforderlich, können wir die identifizierten Indikatoren mit der MITRE ATT & CK-Matrix verknüpfen, die von vielen SOCs im Rahmen ihrer Aktivitäten verwendet wird:



Aber zurück zur Analyse der IP-Adresse, an der wir interessiert sind, an der mehrere Domänen, die das Coronavirus-Thema ausnutzen, "hängen". Diese Adresse befindet sich im autonomen System AS198610, das auch mit bestimmten böswilligen Aktivitäten verbunden ist, z. B. aus der Online-Verbreitungskarte COVID-19 coronavirusmaponline [.] Com:,



die am 23. März 2020 erstellt wurde



und auf deren Website am 1. April Schadcode ist aufgetreten. Vielleicht geschah dies absichtlich, oder vielleicht wurde die Site nur gehackt und Malware darauf platziert; Dies erfordert eine gesonderte Untersuchung.



Ich habe nicht alle Hunderte von Websites analysiert, die in der letzten Woche erstellt wurden (und in einem Monat hat ihre Anzahl bereits eintausend überschritten), aber das Bild ist auf ihnen ähnlich. Die meisten Websites, deren Namen die Wörter "covid" oder "coronavirus" enthalten, sind böswillig und verbreiten unter dem Deckmantel von Nachrichten über eine Pandemie, über die tatsächliche Anzahl von Fällen, über Möglichkeiten zur Bekämpfung von COVID-19 bösartigen Code und infizieren Benutzer mit recht "vertrauter" Malware Programme.

Es überrascht nicht, dass hinter den großen Namen normalerweise nichts steckt. Oft ist dies eine schnell erstellte WordPress-Site, zum Beispiel wie Coronavirus19-Pandemia [.] Ru:



Gleichzeitig zeigt ein Versuch, solche Websites über das Cisco Threat Grid zu steuern, verschiedene Anomalien, die dem Schadcode inhärent sein können (obwohl dies möglicherweise die krummen Hände von Programmierern sind, die die Website „schnell“ aus dem erstellt haben, was sie war). Ich habe aus Zeitgründen nicht begonnen, eine eingehendere Analyse der einzelnen Standorte durchzuführen. Wenn ich mich jedoch an den letzten Beitrag erinnere, in dem ich das bösartige Plugin für WordPress erwähnt habe, sowie an die gängige Praxis, WordPress-Websites zu hacken und bösartigen Code durch sie zu verbreiten, kann ich davon ausgehen, dass diese Website im Laufe der Zeit ihr wahres Gesicht zeigen wird.



Eine weitere interessante Beobachtung, die ich gemacht habe, bezieht sich auf eine bestimmte Gemeinschaft von erstellten Domänen. Zum Beispiel die Zeit, als wir sie zum ersten Mal bemerkten. Aus irgendeinem Grund fielen viele von ihnen gleichzeitig in unsere Sicht.



Aber oft befinden sie sich im selben autonomen System. Beispielsweise sind drei Domänen die zuvor erwähnte Coronavirus19-Pandämie [.] Ru, Maskacoronavirus [.] Ru und Maske-3m [.] Ru. Aus irgendeinem Grund befinden sich alle drei in AS 197695 und viele von ihnen werden von Cisco Umbrella als böswillig mit einer maximalen negativen Bewertung von 100 gekennzeichnet. Die Maske-3m [.] Ru-Domain selbst hat eine ungefährliche Bewertung (zum Zeitpunkt des Schreibens, 28). Es wird jedoch unter der IP-Adresse 31 [.] 31 [.] 196 [.] 138 gehostet, die auf unserer schwarzen Liste steht und mit verschiedenen böswilligen Aktivitäten verbunden ist:



Dieses autonome System AS 197695 ist übrigens ein Zufluchtsort für viele böswillige Ressourcen geworden. Zum Beispiel hostet es die Phishing-Site telegramm1 [.] Ru:



sowie awitoo [.] ru, das nicht nur wie eine Phishing-Site aussieht, sondern auch bösartigen Code verbreitet. So zeigt das Cisco Threat Response- System die Verknüpfungen zwischen dieser Domäne und verschiedenen Artefakten an : Dort befinden sich auch



Phishing-Domänen, die mit dem Voice 1-Projekt, dem sozialen Facebook-Netzwerk, dem Amazon-Onlineshop, dem iCloud-Dienst und anderen Apple-Projekten verknüpft sind. mit optischen Geschäften "Ochkarik" und vielen anderen.

Das Thema Websites, die Geld sammeln, um gegen Coronavirus zu kämpfen, wird nicht ignoriert. Hier ist zum Beispiel ein Coronavirus-Fonds, der solche Spenden sammelt (Sie müssen nur Geld auf eine Karte überweisen):



Ein ähnliches Bild zeigt die Website covid-money [.] Ru, auf der erklärt wird, wie man mit COVID-19 Geld verdient. Lassen Sie dazu die entsprechende Bewerbung und ein Manager wird sich mit Ihnen in Verbindung setzen, der Ihnen die Geheimnisse des Verdienens erklärt. Zwar hängen beide Websites, ukrainisch und russisch, an derselben IP-Adresse, mit der wir den zugehörigen Schadcode gefunden haben:



Für einen seltsamen Zufall wurde auch eine Domain daran angehängt, angeblich Cisco:



Übrigens, wie z. Brutstätten für Cybercoronavirus, wenn an derselben Adresse oder in einem einzigen autonomen Netzwerk mehrere bösartige Ressourcen vorhanden sind, ziemlich viele. Zum Beispiel „hängen“ in IP 88 [.] 212 [.] 232 [.] 188 mehrere Dutzend Domänen gleichzeitig, die sich nach ihren Namen an bestimmte Städte Russlands richten - Jekaterinburg, Saratow, Irkutsk, Kasan, Belgorod, Chabarowsk und usw.



Jetzt möchte ich zu der Domain zurückkehren, von der aus ich diesen Artikel gestartet habe. Diese Domain "hängt" an der IP-Adresse 87 [.] 236 [.] 16 [.] 164, mit der neben Dutzenden anderer Domains eine Domain mit einer interessanten Adresse verknüpft ist: antivirus.ru [.] Com. Als die Cisco Threat Response ihn im Verlauf der Untersuchung als verdächtig identifizierte, dachte ich zuerst, dass die Site auf dieser Domain Antivirenprogramme in Analogie zu der Geschichte verbreitet, die ich beim letzten Mal erzählt habe (ein Software-Antivirenprogramm, das gegen echtes COVID-19 kämpft).



Aber nein. Es stellte sich heraus, dass dies die Website des Online-Shops ist, der am 6. März erstellt wurde. Ich hatte den Eindruck, dass diejenigen, die es kreierten, den vorgefertigten Motor für das Damenbekleidungsgeschäft als Grundlage verwendeten und einfach „heiße“ Waren im Zusammenhang mit Coronaviren hinzufügten - medizinische Masken, Antiseptika, Handgels und Handschuhe.



Aber entweder haben die Entwickler es nicht in die Hände bekommen oder sie wollten es nicht, aber jetzt ist es unmöglich, etwas auf der Website zu kaufen - die Kauflinks führen nirgendwo hin. Neben der Werbung für ein ganz bestimmtes antimikrobielles Mittel und verdächtigen Aktivitäten auf der Website selbst während der Ausführung hat die Website nichts Nützlicheres. Und er hat nichts zu besuchen, und diese Zahl wird in Einheiten gemessen. Wie das folgende Beispiel zeigt, kann dies zu einer verzweigten Infrastruktur führen, die von Cyberkriminellen verwendet wird, wenn Sie damit beginnen, diese Domain zu bewerben.



Bei Domänen, in deren Namen das Wort „Maske“ erwähnt wird, entwickelt sich die Situation weiterhin rasant. Einige Domains werden speziell für den späteren Verkauf erstellt. Einige Domains wurden nur erstellt, sind aber noch nicht beteiligt. Einige Domains sind offensichtlich Phishing oder verbreiten direkt schädlichen Code. Einige Ressourcen parasitieren einfach beim Thema Pandemie und werden zu exorbitanten Preisen von Atemschutzmasken und medizinischen Masken verkauft, die bis vor kurzem 3-5 Rubel pro Stück kosten. Und sehr oft sind alle diese Domänen miteinander verbunden, wie oben gezeigt. Jemand erstellt und verwaltet diese Art von Infrastruktur für schädliche Domänen und nutzt dabei das Thema Coronavirus.

Es sollte beachtet werden, dass eine ähnliche Situation nicht nur in Runet festgestellt wird. Nehmen wir die Domain mygoodmask [.] Com, die am 27. Februar erstellt wurde und nach der Verteilung der Anfragen an das Publikum in den USA, Singapur und China beliebt war. Er verkaufte auch medizinische Masken. An sich hat diese Site keinen Verdacht



erregt und wenn wir ihre Adresse in die Cisco Threat Response eingeben, werden wir nichts Interessantes sehen: Aber ohne dabei anzuhalten, gehen wir weiter und verstehen, dass wir versuchen, auf mygoodmask [.] Com zuzugreifen (Anmerkung) dass die Verhaltensindikatoren in diesem Fall den vorherigen ähnlich sind):



Wir werden zu greatmasks [.] com weitergeleitet, das in zwei IP-Adressen aufgelöst wird - 37 [.] 72 [.] 184 [.] 5 und 196 [.] 196 [.] 3 [.] 246, von denen die letzte böswillig ist und hat in den letzten Jahren viele bösartige Websites gehostet. Die erste IP-Adresse wird in mehrere Domänen aufgelöst, die sich auf den Verkauf von medizinischen Masken beziehen - Sicherheitsmaske [.] Com, Flumaskstore [.] Com, maskhealthy [.] Com usw. (insgesamt mehr als ein Dutzend).



Mit Cisco Threat Response, einer kostenlosen Lösung zur Untersuchung von Vorfällen, der ich bereits mehrere Artikel zu Habré gewidmet habe, können wir dieselben Informationen anzeigen, aber unterschiedlich darstellen.



Eine Blitzanalyse der Daten der letzten Woche mit Cisco Umbrella Investigate zeigt, dass wir immer noch einen klaren "Marktführer" haben, der fast 80% aller mit der Coronavirus-Pandemie verbundenen böswilligen Ressourcen ansammelt, das autonome System AS 197695:



Es zusätzlich Von allen oben beschriebenen Beispielen dient es nicht nur dem Thema COVID-19, sondern auch vielen anderen, was darauf hindeutet, dass Angreifer die aktuelle Pandemie nicht bevorzugen. Es ist nur so, dass sie einen Informationsanlass genutzt und bösartigen Code auf seiner Welle verbreitet haben, Benutzer zu Phishing-Sites locken und ansonsten gewöhnlichen Runet-Benutzern Schaden zufügen.



Wenn der Hype um die Pandemie nachlässt, wird dieselbe Infrastruktur verwendet, um andere Themen zu fördern. Beispielsweise hat die oben genannte Infrastruktur, deren Untersuchung mit der Website mygoodmask [.] Com begann, erst vor kurzem begonnen, das Thema medizinische Masken zu „fördern“ - zuvor war sie mit der Verteilung von Phishing-Mailings über Sportveranstaltungen, Modeaccessoires, einschließlich Sonnenbrillen und Taschen usw. Dabei unterscheiden sich unsere Cyberkriminellen kaum von ihren ausländischen Kollegen.



Nun, die Schlussfolgerung aus dieser Blitzuntersuchung, die ich in der Nacht des 1. April durchgeführt habe, wird einfach sein - Betrüger verwenden alle Gründe, auch das COVID-19-Virus mit einer hohen Sterblichkeitsrate, für ihre Aktivität. Daher sollten Sie sich auf keinen Fall entspannen und denken, dass die Website, die wir mit der Online-Pandemie-Verteilungskarte besuchen, oder das Newsletter-Angebot zum Kauf eines Atemschutzgeräts oder sogar der Link zum sozialen Netzwerk, der zur Website für Telefonkonferenzen führt, zunächst sicher sind. Wachsamkeit! Dies hilft uns, unsere Sicherheit beim Surfen im Internet zu erhöhen. Und die in diesem Artikel beschriebenen Cisco-Lösungen ( Cisco Umbrella Investigate , Cisco Threat Grid , Cisco Threat Response)) helfen Spezialisten bei der Durchführung von Untersuchungen und bei der rechtzeitigen Identifizierung der beschriebenen Cyber-Bedrohungen.

PS Neulich, ein Thema, das sich mit der massiven Erstellung gefälschter Websites im Zusammenhang mit dem Online-Event-Management-System von Zoom befasste, habe ich noch keine solchen Ressourcen in RuNet gefunden, was für den Rest des Internets, in dem viele solcher Domains erstellt wurden, nicht gesagt werden kann.