Microsoft заблокировал 22 домена провайдера NO-IP, сорвав APT-операции киберпреступников

[Viruslist.com]

NO-IP - это один из многих провайдеров динамических DNS, с помощью которых можно бесплатно регистрировать поддомены в таких популярных доменах, как servepics.com и servebeer.com. В течение долгого времени это был любимый метод киберпреступников, которым нужно было без лишних проблем зарегистрировать поддомен для обновления имен хостов, чтобы контролировать вредоносные импланты на компьютерах-жертвах. Вчера [Microsoft предпринял шаги против NO-IP и наложил арест на 22 домена, принадлежавших этой компании.][1] Кроме того, Microsoft подал гражданский иск против _«Мохамеда Бенабделлы и Насера Аль Мутаири, а также против __американской компании __Vitalwerks__Internet__Solutions__, __LLC__, ведущей бизнес под именем __No__-__IP__.__com__, за их участие в создании, контролировании и содействии в заражении миллионов компьютеров вредоносным ПО, из-за чего был нанесен ущерб компании __Microsoft__, её клиентам и в целом общественности»._

Интересно, что Microsoft выделил два конкретных семейства зловредов: «Для заражения невинных жертв вредоносными программами семейств Bladabindi (NJrat) и Jenxcus (NJw0rm)". Заметим, что эти зловреды использовались многими группами киберпреступников и активистов, среди которых была и небезызвестная Сирийская электронная армия (Syrian Electronic Army), для выполнения атак на пользователей. Подробнее об этих атаках мы напишем в ближайшее время в отдельном блогпосте.

Блокирование этих ресурсов сорвало многие другие APT-операции, в которых использовались ресурсы NO-IP в качестве командной инфраструктуры. Вот их список:

* [Flame][2]/[Miniflame][3]
* [Turla/Snake/Uroburos][4], включая Epic
* Cycldek
* [Shiqiang][5]
* Клиенты [HackingTeam RCS][6]
* [Banechant][7]
* Ladyoffice
* и т.д…

[1]: http://blogs.technet.com/b/microsoft_blog/archive/2014/06/30/microsoft-takes-on-global-cybercrime-epidemic-in-tenth-malware-disruption.aspx
[2]: https://www.securelist.com/ru/blog/207763998/Flame_chasto_zadavaemye_voprosy
[3]: https://www.securelist.com/ru/blog/207764257/miniFlame_on_zhe_SPE_Elvis_i_ego_druzya
[4]: http://www.baesystems.com/ai/snakemalware
[5]: https://threatpost.com/stolen-certificates-found-malware-possibly-targeting-tibetan-groups-051512/76562
[6]: https://www.securelist.com/ru/blog/207769073/HackingTeam_2_0_slezhka_teper_vozmozhna_i_cherez_mobilnye_ustroystva
[7]: https://threatpost.com/stealthy-banechant-trojan-lurks-word-file-relies-multiple-mouse-clicks-040213/77690

URL: http://www.securelist.com/ru/blog/208211729/Microsoft_zablokiroval_22_domena_provaydera_NO_IP_sorvav_APT_operatsii_kiberprestupnikov