После заметки о том, какие формы принимают киберугрозы, связанные с коронавирусом, я решил посмотреть на то, как в российском Интернете отреагировали на пандемию и что происходит с киберугрозами у нас, а именно с фишинговыми и мошенническими сайтами.
![image](https://habrastorage.org/r/w1560/webt/bl/ce/sa/blcesaxuoq_bzbffzligo18rkle.png)
В качестве точки отсчета я стал использовать наш сервис мониторинга и защиты DNS — Cisco Umbrella, который обрабатывает в день более 150 миллиардов DNS-запросов и проводит их анализ на предмет вредоносности. С помощью инструмента расследования Cisco Umbrella Investigate, первым делом я решил проверить, насколько активно сейчас создаются домены, в названии которых используются ключевые слова «covid» и «coronavirus». За последние 7 дней появилось:
— 257 доменов с «coronavirus», из которых 170 мы отнесли к вредоносным
![image](https://habrastorage.org/r/w1560/webt/tq/lv/tb/tqlvtbvmupfuo0avuo0k7m6yfri.png)
— 271 домен с «covid», из которых к вредоносным мы отнесли 121
![image](https://habrastorage.org/r/w1560/webt/og/ic/d8/ogicd8g69swdsikj9woqc-m_pda.png)
— 349 доменов с «mask» (и их число постоянно растет), из которых только 9 классифицированы как вредоносные и 1 как фишинговый.
![image](https://habrastorage.org/r/w1560/webt/sm/ff/3y/smff3ysw3zhmeqiqiim9sjaehk8.png)
Классификация вредоносных доменов носит пока предварительный характер, так как многие домены пока только зарегистрированы, но еще никак не используются злоумышленниками.
![image](https://habrastorage.org/r/w1560/webt/wq/lr/ni/wqlrniphhez4owh5vrjuqukmjdg.png)
Возьмем к примеру домен covid19-russia[.]ru и попробуем провести по нему блиц-расследование:
![image](https://habrastorage.org/r/w1560/webt/nj/3s/4f/nj3s4fv_it-lfi88-3gbm2u-gwi.png)
Домен был зарегистрирован 17 марта, что в целом неудивительно и в данном конкретном случае не должно вызывать подозрений как в иных случаях, в которых дата создания домена является очень важным индикатором для выявления вредоносной активности. Для пандемии же коронавируса сложно ожидать, что о ней было известно в прошлом году или ранее. Поэтому и домены, посвященные коронавирусу стали появляться только сейчас.
![image](https://habrastorage.org/r/w1560/webt/ja/vn/as/javnaspv1v4qjlriyiihew5yrfi.png)
Посмотрим на IP-адрес, на котором висит данный домен. Как мы видим, он является прибежищем еще для ряда доменов, часть из которых связана с текущей пандемией:
![image](https://habrastorage.org/r/w1560/webt/_p/8l/sv/_p8lsve6zlfi2iiklj_qjfibkaa.png)
И этот же адрес у нас ассоциирован с рядом вредоносных программ, которые либо распространяются с указанного IP-адреса или сайтов, на нем «висящих», либо используют этот адрес в качестве kill switch, либо задействуют его в качестве командного сервера, который рассылает соответствующие команды и принимает ответы от жертв, зараженных вредоносным кодом. Первым в списке вредоносных семплов, связанных с указанным IP, мы видим и Emotet, уже упомянутый в прошлой статье:
![image](https://habrastorage.org/r/w1560/webt/zn/xr/tr/znxrtrrrcb9lskm9o_ly-moam-c.png)
Этот семпл используется и в других кампаниях судя по анализу его сетевого взаимодействия:
![image](https://habrastorage.org/r/w1560/webt/ye/li/xf/yelixfqkxyll0-ysreb9rltdomg.png)
Если воспользоваться другим сервисом Cisco, а именно песочницей Cisco Threat Grid, то мы можем получить по данному семплу более подробную информацию, например, подробный список поведенческих индикаторов, которые «сработали» в данном случае:
![image](https://habrastorage.org/r/w1560/webt/cu/2q/wb/cu2qwb4yuxqd0pk2m1rgt2bzgjo.png)
Анализируя процессы, который были запущены в рамках работы Emotet на компьютере жертвы:
![image](https://habrastorage.org/r/w1560/webt/nd/az/qv/ndazqvb8tqdxfs7_okr6vnt7cn8.png)
мы понимаем, что в данном случае речь шла о документе MS Word, который был получен/загружен жертвой, взаимодействующей с исследуемым нами IP-адресом и доменом:
![image](https://habrastorage.org/r/w1560/webt/r_/uz/3c/r_uz3cwgymb-k_uopcs5iloiapu.png)
При необходимости мы можем увязать выявленные индикаторы с матрицей MITRE ATT&CK, которая используется многими SOCами в рамках своей деятельности:
![image](https://habrastorage.org/r/w1560/webt/tm/7e/kz/tm7ekzrk3ecyzrjmcqzfumriy_8.png)
Но вернемся к анализу интересующего нас IP-адреса, на котором «висит» несколько доменов, эксплуатирующих тему коронавируса. Этот адрес расположен в автономной системе AS198610, с которой также связана определенная вредоносная активность, например, с онлайн-карты распространения COVID-19 coronavirusmaponline[.]com:
![image](https://habrastorage.org/r/w1560/webt/ld/w4/ja/ldw4jaiuytcnoihsb0m7v5yliyg.png)
которая была создана 23 марта 2020-го года:
![image](https://habrastorage.org/r/w1560/webt/np/78/bh/np78bhq-q5e5fcj78rdzrlrbcru.png)
и на сайте которой 1-го апреля появился вредоносный код. Может это произошло специально, а может сайт был просто взломан и на нем была размещена вредоносная программа; это требует уже отдельного расследования.
![image](https://habrastorage.org/r/w1560/webt/h-/ua/-h/h-ua-hivm69htex0qkfmfironj8.png)
Я не стал проводить анализ по всем сотням сайтам, которые были созданы за последнюю неделю (а за месяц их число уже перевалило тысячу), но на них картина схожая. Большая часть сайтов, в названии которых есть слова «covid» или «coronavirus», являются вредоносными и под видом новостей о пандемии, о реальном числе заболевших, о способах борьбы с COVID-19, распространяют вредоносный код и заражают пользователей достаточно «привычными» вредоносными программами.
Неудивительно, что за громкими названиями обычно ничего нет. Часто это по-быстрому созданный сайт на базе WordPress, например, как coronavirus19-pandemia[.]ru:
![image](https://habrastorage.org/r/w1560/webt/6c/ex/xu/6cexxuvpxssklekq9zrpbxfiutk.png)
При этом попытка прогнать такие сайты через Cisco Threat Grid показывает различные аномалии, которые могут быть присущи вредоносному коду (хотя это может быть и кривые руки программистов, «по-быстрому» создавших сайт из того, что было). Проводить более глубокий анализ каждого сайта я уже не стал из-за нехватки времени. Но вспоминая прошлую заметку, где я упоминал про вредоносный плагин для WordPress, а также распространенную практику взлома сайтов на WordPress и распространение через них вредоносного кода, могу предположить, что с течением времени и этот сайт покажет свои истинное лицо.
![image](https://habrastorage.org/r/w1560/webt/ih/7j/et/ih7jetwbxfnd7suskoujmktmfqw.png)
Другое интересное наблюдение, которое я сделал, связано с некоей общностью созданных доменов. Например, время, когда мы их впервые заметили. Почему-то многие из них попали в наш прицел в одно и тоже время.
![image](https://habrastorage.org/r/w1560/webt/vc/ki/i0/vckii0kkyesq1sn6w768pbpxvde.png)
Но часто они и располагаются в одной и той же автономной системе. Например, три домена — уже упомянутый ранее coronavirus19-pandemia[.]ru, maskacoronavirus[.]ru и mask-3m[.]ru. Почему-то все три из них располагаются в AS 197695 и многие из них маркированы Cisco Umbrella как вредоносные, с максимальным отрицательным рейтингом 100. Домен mask-3m[.]ru сам по себе имеет неопасный рейтинг (на момент написания статьи — 28), но хостится он на IP-адресе 31[.]31[.]196[.]138, который внесен в наш черный список и с которым связана различная вредоносная активность:
![image](https://habrastorage.org/r/w1560/webt/zx/da/hb/zxdahbusiohrclomfjdjyjtosxs.png)
Кстати, данная автономная система AS 197695 стала прибежищем для многих вредоносных ресурсов. Например, в ней располагается фишинговый сайт telegramm1[.]ru:
![image](https://habrastorage.org/r/w1560/webt/2u/l_/vz/2ul_vzuxjfvy6nfecioyiiqe4na.png)
а также сайт awitoo[.]ru, который мало того, что смахивает на фишинговый, так еще и вредоносный код распространяет. Вот как отображает связи между этим доменом и различными артефактами система Cisco Threat Response:
![image](https://habrastorage.org/r/w1560/webt/lw/64/tf/lw64tf4n2djkr1pfkyuzyw44eam.png)
Там же располагаются фишинговые домены, связанные с проектом 1-го канала «Голос», с соцсетью Facebook, с Интернет-магазином Amazon, с сервисом iCloud и другими проектами Apple, с магазинами оптики «Очкарик», и многие другие.
Не обойдена своим вниманием и тема сайтов, которые собирают деньги на борьбу с коронавирусом. Например, вот фонд по борьбе с коронавирусом, который собирает такие пожертвования (надо просто перевести деньги на карту):
![image](https://habrastorage.org/r/w1560/webt/sh/r-/zm/shr-zmv7jvezfdund3kv8th3z_u.png)
Аналогичная картина и с сайтом covid-money[.]ru, который учит, как заработать на COVID-19. Для этого надо оставить соответствующую заявку и с вами свяжется менеджер, который и расскажет вам секреты заработка. Правда, «висят» оба этих сайта, украинский и российский, на одном и том же IP, с которым мы нашли ассоциированный вредоносный код:
![image](https://habrastorage.org/r/w1560/webt/kk/rw/s4/kkrws4ubvsyqmfbezm27eeh6kvc.png)
К нему же, по странному стечению обстоятельств, был привязан и домен, якобы, Cisco:
![image](https://habrastorage.org/r/w1560/webt/6h/fm/qd/6hfmqdizqbrsxvparcr0tihr9q4.png)
Кстати, таких «рассадников» киберкоронавируса, когда на одной адресе или в одной автономное сети, находится несколько вредоносных ресурсов, достаточно много. Например, на IP 88[.]212[.]232[.]188 «висит» сразу несколько десятков доменов, которые, судя по их названиям, ориентированы на конкретные города России — Екатеринбург, Саратов, Иркутск, Казань, Белгород, Хабаровск и т.п.
![image](https://habrastorage.org/r/w1560/webt/zm/5q/yk/zm5qykqnhyn3_5ov1b82mqk3h54.png)
Сейчас я бы хотел вернуться к домену, с анализа которого я начинал эту статью. Этот домен «висит» на IP-адресе 87[.]236[.]16[.]164, с которым, помимо десятков других доменов, связан и домен с интересным адресом: antivirus.ru[.]com. Когда в процессе расследования Cisco Threat Response подсветила его как подозрительный, я сначала подумал, что сайт на этом домене распространяет антивирусы по аналогии с историей, о которой я рассказывал в прошлый раз (программный антивирус, борющийся с реальным COVID-19).
![image](https://habrastorage.org/r/w1560/webt/5a/en/fm/5aenfmfrs3ra9bsc9ooisrhvoya.png)
Но нет. Оказалось, что это сайт Интернет-магазина, созданного 6 марта. У меня сложилось впечатление, что те, кто его создавал, взяли за основу готовый движок для магазина женской одежды и просто добавили туда «горячих» товаров, связанных с коронавирусом, — медицинские маски, антисептики, гели для рук и перчатки.
![image](https://habrastorage.org/r/w1560/webt/ft/kw/ce/ftkwcesomslegjjbokqysi-pcxc.png)
Но то ли у разработчиков руки не дошли довести все до ума, то ли им это расхотелось делать, но купить ничего на сайте сейчас невозможно — ссылки на покупку ведут в никуда. Кроме рекламы вполне конкретного антимикробного средства и подозрительной активности на самом сайте в процессе его исполнения, больше ничего полезного у сайта нет. Да и посещений у него всего ничего и измеряется это число единицами. Но как покажет следующий пример, если начать раскручивать данный домен, то он может привести к разветвленной инфраструктуре, используемой злоумышленниками.
![image](https://habrastorage.org/r/w1560/webt/na/re/ju/narejuklomq6ea13zrxlpn1vctg.png)
С доменами, в названии которых упоминается слово «mask», ситуация продолжает активно развиваться. Какие-то домены созданы специально для последующей продажи. Какие-то домены только созданы, но пока нигде не задействованы. Какие-то домены являются очевидно фишинговыми или прямо распространяют вредоносный код. Некоторые ресурсы просто паразитируют на теме пандемии и втридорога продают респираторы и медицинские маски, которые еще недавно стоили по 3-5 рублей за штуку. И очень часто все эти домены связаны между собой, как было показано выше. Кто-то создает и управляет такого рода инфраструктурой вредоносных доменов, эксплуатируя тему коронавируса.
Надо отметить, что схожая ситуация отмечается не только в Рунете. Возьмем в качестве примера домен mygoodmask[.]com, который был создан 27 февраля и, судя по распределению запросов к нему, был популярен у аудитории в США, Сингапуре и Китае. Он также занимался продажей медицинских масок. Сам по себе этот сайт не вызывал никаких подозрений и введя его адрес в Cisco Threat Response мы не увидим ничего интересного:
![image](https://habrastorage.org/r/w1560/webt/r6/cb/z6/r6cbz6lowekwfw6g8mxj2sejzqm.png)
Но не останавливаясь на этом, мы идем дальше, и понимаем, что при попытке доступа на mygoodmask[.]com (обратите внимание, что поведенческие индикаторы в этом случае похожи на предыдущий):
![image](https://habrastorage.org/r/w1560/webt/tu/mj/d3/tumjd3jrm0x4s7jz6xmba-s6mkw.png)
нас перенаправляют на greatmasks[.]com, который резолвится в два IP-адреса — 37[.]72[.]184[.]5 и 196[.]196[.]3[.]246, последний из которых является вредоносным и хостит многие вредоносные сайты на протяжении последних нескольких лет. Первый же IP-адрес резолвится еще в несколько доменов, связанных с продажами медицинских масок, — safetysmask[.]com, flumaskstore[.]com, maskhealthy[.]com и т.п. (всего более десятка).
![image](https://habrastorage.org/r/w1560/webt/n-/c2/iv/n-c2ivleoxkgzp9vdp3rqii-ox4.png)
Ту же информацию, но представленную иначе, мы можем отобразить с помощью Cisco Threat Response, бесплатного решения по расследованию инцидентов, которому я уже посвятил несколько статей на Хабре:
![image](https://habrastorage.org/r/w1560/webt/3m/s6/t_/3ms6t_zls3tv3ivxoo8maourui8.png)
Блиц-анализ данных за последнюю неделю с помощью Cisco Umbrella Investigate показывает, что у нас пока явным «лидером», который аккумулирует в себе чуть ли не 80% всех вредоносных ресурсов, связанных с пандемией коронавируса, является автономная система AS 197695:
![image](https://habrastorage.org/r/w1560/webt/r3/kq/oh/r3kqohz-wec_3vsojule1k9xhc8.png)
Она, помимо всех описанных выше примеров, на самом деле обслуживает не только тему COVID-19, но и многие другие, что говорит о том, что у злоумышленников нет какого-либо предпочтения в отношении текущей пандемии. Просто они воспользовались информационным поводом и на его волне распространяют вредоносный код, заманивают пользователей на фишинговые сайты и иными способами наносят ущерб рядовым пользователям Рунета.
![image](https://habrastorage.org/r/w1560/webt/47/ne/vu/47nevugcctsn_bhbc4uyi7u--g0.png)
Когда спадет шумиха вокруг пандемии, эта же инфраструктуру будет использована для продвижения других тем. Например, вышеупомянутая инфраструктура, расследование которой началось с сайта mygoodmask[.]com, на самом деле только недавно начала «продвигать» тему медицинских масок, — до этого она занималась распространением фишинговых рассылок на тему спортивных мероприятий, модных аксессуаров, среди которых солнечные очки и сумки, и т.п. И в этом наши киберпреступники мало чем отличаются от своих зарубежных коллег.
![image](https://habrastorage.org/r/w1560/webt/sv/vl/82/svvl82dlvqdjdqu_sfthh6c_-zu.png)
Ну а вывод из этого блиц-расследования, которое я проводил в ночь на 1-е апреля, будет простой — мошенники используют любые, даже такие как вирус COVID-19 с высоким показателем смертности, поводы для своей активности. Поэтому ни в коем случае нельзя расслабляться и думать, что посещаемый нами сайт с онлайн-картой распространения пандемии, или рассылка, предлагающая купить респиратор, или даже ссылка в соцсети, ведущая на сайт для проведения телеконференций, являются изначально безопасными. Бдительность! Это то, что помогает нам повысить свою безопасность при серфинге в Интернет. А описанные в данной статье решения Cisco (Cisco Umbrella Investigate, Cisco Threat Grid, Cisco Threat Response) помогают специалистам проводить расследования и своевременно выявлять описанные киберугрозы.
P.S. Что касается на днях всплывшей темы о массовом создании фейковых сайтов, связанных с системой проведения онлайн-мероприятий Zoom, то в Рунете я пока не обнаружил таких ресурсов, чего не скажешь об остальной части Интернет, где таких доменов было создано немало.
![image](https://habrastorage.org/webt/bl/ce/sa/blcesaxuoq_bzbffzligo18rkle.png)
В качестве точки отсчета я стал использовать наш сервис мониторинга и защиты DNS — Cisco Umbrella, который обрабатывает в день более 150 миллиардов DNS-запросов и проводит их анализ на предмет вредоносности. С помощью инструмента расследования Cisco Umbrella Investigate, первым делом я решил проверить, насколько активно сейчас создаются домены, в названии которых используются ключевые слова «covid» и «coronavirus». За последние 7 дней появилось:
— 257 доменов с «coronavirus», из которых 170 мы отнесли к вредоносным
![image](https://habrastorage.org/webt/tq/lv/tb/tqlvtbvmupfuo0avuo0k7m6yfri.png)
— 271 домен с «covid», из которых к вредоносным мы отнесли 121
![image](https://habrastorage.org/webt/og/ic/d8/ogicd8g69swdsikj9woqc-m_pda.png)
— 349 доменов с «mask» (и их число постоянно растет), из которых только 9 классифицированы как вредоносные и 1 как фишинговый.
![image](https://habrastorage.org/webt/sm/ff/3y/smff3ysw3zhmeqiqiim9sjaehk8.png)
Классификация вредоносных доменов носит пока предварительный характер, так как многие домены пока только зарегистрированы, но еще никак не используются злоумышленниками.
![image](https://habrastorage.org/webt/wq/lr/ni/wqlrniphhez4owh5vrjuqukmjdg.png)
Возьмем к примеру домен covid19-russia[.]ru и попробуем провести по нему блиц-расследование:
![image](https://habrastorage.org/webt/nj/3s/4f/nj3s4fv_it-lfi88-3gbm2u-gwi.png)
Домен был зарегистрирован 17 марта, что в целом неудивительно и в данном конкретном случае не должно вызывать подозрений как в иных случаях, в которых дата создания домена является очень важным индикатором для выявления вредоносной активности. Для пандемии же коронавируса сложно ожидать, что о ней было известно в прошлом году или ранее. Поэтому и домены, посвященные коронавирусу стали появляться только сейчас.
![image](https://habrastorage.org/webt/ja/vn/as/javnaspv1v4qjlriyiihew5yrfi.png)
Посмотрим на IP-адрес, на котором висит данный домен. Как мы видим, он является прибежищем еще для ряда доменов, часть из которых связана с текущей пандемией:
![image](https://habrastorage.org/webt/_p/8l/sv/_p8lsve6zlfi2iiklj_qjfibkaa.png)
И этот же адрес у нас ассоциирован с рядом вредоносных программ, которые либо распространяются с указанного IP-адреса или сайтов, на нем «висящих», либо используют этот адрес в качестве kill switch, либо задействуют его в качестве командного сервера, который рассылает соответствующие команды и принимает ответы от жертв, зараженных вредоносным кодом. Первым в списке вредоносных семплов, связанных с указанным IP, мы видим и Emotet, уже упомянутый в прошлой статье:
![image](https://habrastorage.org/webt/zn/xr/tr/znxrtrrrcb9lskm9o_ly-moam-c.png)
Этот семпл используется и в других кампаниях судя по анализу его сетевого взаимодействия:
![image](https://habrastorage.org/webt/ye/li/xf/yelixfqkxyll0-ysreb9rltdomg.png)
Если воспользоваться другим сервисом Cisco, а именно песочницей Cisco Threat Grid, то мы можем получить по данному семплу более подробную информацию, например, подробный список поведенческих индикаторов, которые «сработали» в данном случае:
![image](https://habrastorage.org/webt/cu/2q/wb/cu2qwb4yuxqd0pk2m1rgt2bzgjo.png)
Анализируя процессы, который были запущены в рамках работы Emotet на компьютере жертвы:
![image](https://habrastorage.org/webt/nd/az/qv/ndazqvb8tqdxfs7_okr6vnt7cn8.png)
мы понимаем, что в данном случае речь шла о документе MS Word, который был получен/загружен жертвой, взаимодействующей с исследуемым нами IP-адресом и доменом:
![image](https://habrastorage.org/webt/r_/uz/3c/r_uz3cwgymb-k_uopcs5iloiapu.png)
При необходимости мы можем увязать выявленные индикаторы с матрицей MITRE ATT&CK, которая используется многими SOCами в рамках своей деятельности:
![image](https://habrastorage.org/webt/tm/7e/kz/tm7ekzrk3ecyzrjmcqzfumriy_8.png)
Но вернемся к анализу интересующего нас IP-адреса, на котором «висит» несколько доменов, эксплуатирующих тему коронавируса. Этот адрес расположен в автономной системе AS198610, с которой также связана определенная вредоносная активность, например, с онлайн-карты распространения COVID-19 coronavirusmaponline[.]com:
![image](https://habrastorage.org/webt/ld/w4/ja/ldw4jaiuytcnoihsb0m7v5yliyg.png)
которая была создана 23 марта 2020-го года:
![image](https://habrastorage.org/webt/np/78/bh/np78bhq-q5e5fcj78rdzrlrbcru.png)
и на сайте которой 1-го апреля появился вредоносный код. Может это произошло специально, а может сайт был просто взломан и на нем была размещена вредоносная программа; это требует уже отдельного расследования.
![image](https://habrastorage.org/webt/h-/ua/-h/h-ua-hivm69htex0qkfmfironj8.png)
Я не стал проводить анализ по всем сотням сайтам, которые были созданы за последнюю неделю (а за месяц их число уже перевалило тысячу), но на них картина схожая. Большая часть сайтов, в названии которых есть слова «covid» или «coronavirus», являются вредоносными и под видом новостей о пандемии, о реальном числе заболевших, о способах борьбы с COVID-19, распространяют вредоносный код и заражают пользователей достаточно «привычными» вредоносными программами.
Неудивительно, что за громкими названиями обычно ничего нет. Часто это по-быстрому созданный сайт на базе WordPress, например, как coronavirus19-pandemia[.]ru:
![image](https://habrastorage.org/webt/6c/ex/xu/6cexxuvpxssklekq9zrpbxfiutk.png)
При этом попытка прогнать такие сайты через Cisco Threat Grid показывает различные аномалии, которые могут быть присущи вредоносному коду (хотя это может быть и кривые руки программистов, «по-быстрому» создавших сайт из того, что было). Проводить более глубокий анализ каждого сайта я уже не стал из-за нехватки времени. Но вспоминая прошлую заметку, где я упоминал про вредоносный плагин для WordPress, а также распространенную практику взлома сайтов на WordPress и распространение через них вредоносного кода, могу предположить, что с течением времени и этот сайт покажет свои истинное лицо.
![image](https://habrastorage.org/webt/ih/7j/et/ih7jetwbxfnd7suskoujmktmfqw.png)
Другое интересное наблюдение, которое я сделал, связано с некоей общностью созданных доменов. Например, время, когда мы их впервые заметили. Почему-то многие из них попали в наш прицел в одно и тоже время.
![image](https://habrastorage.org/webt/vc/ki/i0/vckii0kkyesq1sn6w768pbpxvde.png)
Но часто они и располагаются в одной и той же автономной системе. Например, три домена — уже упомянутый ранее coronavirus19-pandemia[.]ru, maskacoronavirus[.]ru и mask-3m[.]ru. Почему-то все три из них располагаются в AS 197695 и многие из них маркированы Cisco Umbrella как вредоносные, с максимальным отрицательным рейтингом 100. Домен mask-3m[.]ru сам по себе имеет неопасный рейтинг (на момент написания статьи — 28), но хостится он на IP-адресе 31[.]31[.]196[.]138, который внесен в наш черный список и с которым связана различная вредоносная активность:
![image](https://habrastorage.org/webt/zx/da/hb/zxdahbusiohrclomfjdjyjtosxs.png)
Кстати, данная автономная система AS 197695 стала прибежищем для многих вредоносных ресурсов. Например, в ней располагается фишинговый сайт telegramm1[.]ru:
![image](https://habrastorage.org/webt/2u/l_/vz/2ul_vzuxjfvy6nfecioyiiqe4na.png)
а также сайт awitoo[.]ru, который мало того, что смахивает на фишинговый, так еще и вредоносный код распространяет. Вот как отображает связи между этим доменом и различными артефактами система Cisco Threat Response:
![image](https://habrastorage.org/webt/lw/64/tf/lw64tf4n2djkr1pfkyuzyw44eam.png)
Там же располагаются фишинговые домены, связанные с проектом 1-го канала «Голос», с соцсетью Facebook, с Интернет-магазином Amazon, с сервисом iCloud и другими проектами Apple, с магазинами оптики «Очкарик», и многие другие.
Не обойдена своим вниманием и тема сайтов, которые собирают деньги на борьбу с коронавирусом. Например, вот фонд по борьбе с коронавирусом, который собирает такие пожертвования (надо просто перевести деньги на карту):
![image](https://habrastorage.org/webt/sh/r-/zm/shr-zmv7jvezfdund3kv8th3z_u.png)
Аналогичная картина и с сайтом covid-money[.]ru, который учит, как заработать на COVID-19. Для этого надо оставить соответствующую заявку и с вами свяжется менеджер, который и расскажет вам секреты заработка. Правда, «висят» оба этих сайта, украинский и российский, на одном и том же IP, с которым мы нашли ассоциированный вредоносный код:
![image](https://habrastorage.org/webt/kk/rw/s4/kkrws4ubvsyqmfbezm27eeh6kvc.png)
К нему же, по странному стечению обстоятельств, был привязан и домен, якобы, Cisco:
![image](https://habrastorage.org/webt/6h/fm/qd/6hfmqdizqbrsxvparcr0tihr9q4.png)
Кстати, таких «рассадников» киберкоронавируса, когда на одной адресе или в одной автономное сети, находится несколько вредоносных ресурсов, достаточно много. Например, на IP 88[.]212[.]232[.]188 «висит» сразу несколько десятков доменов, которые, судя по их названиям, ориентированы на конкретные города России — Екатеринбург, Саратов, Иркутск, Казань, Белгород, Хабаровск и т.п.
![image](https://habrastorage.org/webt/zm/5q/yk/zm5qykqnhyn3_5ov1b82mqk3h54.png)
Сейчас я бы хотел вернуться к домену, с анализа которого я начинал эту статью. Этот домен «висит» на IP-адресе 87[.]236[.]16[.]164, с которым, помимо десятков других доменов, связан и домен с интересным адресом: antivirus.ru[.]com. Когда в процессе расследования Cisco Threat Response подсветила его как подозрительный, я сначала подумал, что сайт на этом домене распространяет антивирусы по аналогии с историей, о которой я рассказывал в прошлый раз (программный антивирус, борющийся с реальным COVID-19).
![image](https://habrastorage.org/webt/5a/en/fm/5aenfmfrs3ra9bsc9ooisrhvoya.png)
Но нет. Оказалось, что это сайт Интернет-магазина, созданного 6 марта. У меня сложилось впечатление, что те, кто его создавал, взяли за основу готовый движок для магазина женской одежды и просто добавили туда «горячих» товаров, связанных с коронавирусом, — медицинские маски, антисептики, гели для рук и перчатки.
![image](https://habrastorage.org/webt/ft/kw/ce/ftkwcesomslegjjbokqysi-pcxc.png)
Но то ли у разработчиков руки не дошли довести все до ума, то ли им это расхотелось делать, но купить ничего на сайте сейчас невозможно — ссылки на покупку ведут в никуда. Кроме рекламы вполне конкретного антимикробного средства и подозрительной активности на самом сайте в процессе его исполнения, больше ничего полезного у сайта нет. Да и посещений у него всего ничего и измеряется это число единицами. Но как покажет следующий пример, если начать раскручивать данный домен, то он может привести к разветвленной инфраструктуре, используемой злоумышленниками.
![image](https://habrastorage.org/webt/na/re/ju/narejuklomq6ea13zrxlpn1vctg.png)
С доменами, в названии которых упоминается слово «mask», ситуация продолжает активно развиваться. Какие-то домены созданы специально для последующей продажи. Какие-то домены только созданы, но пока нигде не задействованы. Какие-то домены являются очевидно фишинговыми или прямо распространяют вредоносный код. Некоторые ресурсы просто паразитируют на теме пандемии и втридорога продают респираторы и медицинские маски, которые еще недавно стоили по 3-5 рублей за штуку. И очень часто все эти домены связаны между собой, как было показано выше. Кто-то создает и управляет такого рода инфраструктурой вредоносных доменов, эксплуатируя тему коронавируса.
Надо отметить, что схожая ситуация отмечается не только в Рунете. Возьмем в качестве примера домен mygoodmask[.]com, который был создан 27 февраля и, судя по распределению запросов к нему, был популярен у аудитории в США, Сингапуре и Китае. Он также занимался продажей медицинских масок. Сам по себе этот сайт не вызывал никаких подозрений и введя его адрес в Cisco Threat Response мы не увидим ничего интересного:
![image](https://habrastorage.org/webt/r6/cb/z6/r6cbz6lowekwfw6g8mxj2sejzqm.png)
Но не останавливаясь на этом, мы идем дальше, и понимаем, что при попытке доступа на mygoodmask[.]com (обратите внимание, что поведенческие индикаторы в этом случае похожи на предыдущий):
![image](https://habrastorage.org/webt/tu/mj/d3/tumjd3jrm0x4s7jz6xmba-s6mkw.png)
нас перенаправляют на greatmasks[.]com, который резолвится в два IP-адреса — 37[.]72[.]184[.]5 и 196[.]196[.]3[.]246, последний из которых является вредоносным и хостит многие вредоносные сайты на протяжении последних нескольких лет. Первый же IP-адрес резолвится еще в несколько доменов, связанных с продажами медицинских масок, — safetysmask[.]com, flumaskstore[.]com, maskhealthy[.]com и т.п. (всего более десятка).
![image](https://habrastorage.org/webt/n-/c2/iv/n-c2ivleoxkgzp9vdp3rqii-ox4.png)
Ту же информацию, но представленную иначе, мы можем отобразить с помощью Cisco Threat Response, бесплатного решения по расследованию инцидентов, которому я уже посвятил несколько статей на Хабре:
![image](https://habrastorage.org/webt/3m/s6/t_/3ms6t_zls3tv3ivxoo8maourui8.png)
Блиц-анализ данных за последнюю неделю с помощью Cisco Umbrella Investigate показывает, что у нас пока явным «лидером», который аккумулирует в себе чуть ли не 80% всех вредоносных ресурсов, связанных с пандемией коронавируса, является автономная система AS 197695:
![image](https://habrastorage.org/webt/r3/kq/oh/r3kqohz-wec_3vsojule1k9xhc8.png)
Она, помимо всех описанных выше примеров, на самом деле обслуживает не только тему COVID-19, но и многие другие, что говорит о том, что у злоумышленников нет какого-либо предпочтения в отношении текущей пандемии. Просто они воспользовались информационным поводом и на его волне распространяют вредоносный код, заманивают пользователей на фишинговые сайты и иными способами наносят ущерб рядовым пользователям Рунета.
![image](https://habrastorage.org/webt/47/ne/vu/47nevugcctsn_bhbc4uyi7u--g0.png)
Когда спадет шумиха вокруг пандемии, эта же инфраструктуру будет использована для продвижения других тем. Например, вышеупомянутая инфраструктура, расследование которой началось с сайта mygoodmask[.]com, на самом деле только недавно начала «продвигать» тему медицинских масок, — до этого она занималась распространением фишинговых рассылок на тему спортивных мероприятий, модных аксессуаров, среди которых солнечные очки и сумки, и т.п. И в этом наши киберпреступники мало чем отличаются от своих зарубежных коллег.
![image](https://habrastorage.org/webt/sv/vl/82/svvl82dlvqdjdqu_sfthh6c_-zu.png)
Ну а вывод из этого блиц-расследования, которое я проводил в ночь на 1-е апреля, будет простой — мошенники используют любые, даже такие как вирус COVID-19 с высоким показателем смертности, поводы для своей активности. Поэтому ни в коем случае нельзя расслабляться и думать, что посещаемый нами сайт с онлайн-картой распространения пандемии, или рассылка, предлагающая купить респиратор, или даже ссылка в соцсети, ведущая на сайт для проведения телеконференций, являются изначально безопасными. Бдительность! Это то, что помогает нам повысить свою безопасность при серфинге в Интернет. А описанные в данной статье решения Cisco (Cisco Umbrella Investigate, Cisco Threat Grid, Cisco Threat Response) помогают специалистам проводить расследования и своевременно выявлять описанные киберугрозы.
P.S. Что касается на днях всплывшей темы о массовом создании фейковых сайтов, связанных с системой проведения онлайн-мероприятий Zoom, то в Рунете я пока не обнаружил таких ресурсов, чего не скажешь об остальной части Интернет, где таких доменов было создано немало.