Команда ELITETEAM превратила Сейшельские острова в центр киберпреступности

Команда ELITETEAM превратила Сейшельские острова в центр киберпреступности
Команда ELITETEAM превратила Сейшельские острова в центр киберпреступности
Сеть данного хостинг-провайдера использовалась для проведения нелегальных операций и осуществления финансовых афер.

Специалисты из Knownsec 404 обнаружили обширную сеть хостинг-провайдера ELITETEAM, который предоставляет инфраструктуру для киберпреступников. Эти услуги дают злоумышленникам возможность избегать правового контроля и поддерживать работу вредоносных программ, фальшивых сайтов, рассылки спама и других противоправных действий.

Эксперты отмечают, что «пуленепробиваемые» хостинги создают значительную угрозу мировой кибербезопасности, поскольку они действуют в условиях слабого правового регулирования и обладают высокой стойкостью к правовым мерам.

По данным отчёта, ELITETEAM была зарегистрирована на Сейшельских островах в ноябре 2020 года под названием «1337TEAM LIMITED». Этот провайдер управляет автономной системой AS51381 и предоставляет услуги, связанные с размещением фишинговых сайтов, вредоносного программного обеспечения, серверов управления ботнетами, а также инфраструктуры для криптовалютных мошенничеств. Подобные провайдеры намеренно выбирают юрисдикции с ослабленным законодательным регулированием.

По данным исследования Interisle о фишинговых сетях за 2021 год, только один сегмент сети ELITETEAM с 256 IP-адресами занял восьмое место в мире по количеству вредоносной активности. На платформе VirusTotal все 256 IP-адресов в сети ELITETEAM были отмечены как вредоносные, что подтверждает их активное использование в кибератаках. На платформе ThreatFox несколько IP-адресов в 2024 году были отмечены индикаторами компрометации (IOC) таких вредоносных программ, как Amadey и RedLine, что свидетельствует об их применении для фишинговых атак и распространения вредоносного ПО.

Специалисты Cloudflare обнаружили, что IP-адреса ELITETEAM активно используются для взлома WordPress-сайтов. Атаки нацелены на страницы авторизации и интерфейсы XML-RPC, где злоумышленники пытаются эксплуатировать уязвимости для получения доступа к системам.

Trend Micro установила связь инфраструктуры ELITETEAM с распространением программ-вымогателей Quakbot и Emotet. Только в первом квартале 2023 года было зафиксировано 200 тысяч случаев вредоносного трафика, связанного с инфраструктурой ELITETEAM; 140 тысяч из них зарегистрированы на Сейшельских островах. Эти программы использовались для шифрования данных корпоративных сетей с целью вымогательства.

Инфраструктура ELITETEAM также использовалась для поддержки криптовалютных мошенничеств на теневом рынке Hydra, обеспечивая проведение незаконных транзакций и отмывание денег. Эти действия привлекли внимание Интерпола, который направил несколько запросов на расследование деятельности компании.

Анализ данных о сегменте сети 185.215.113.0/24 через платформу ZoomEye выявил его ключевые характеристики: открытые порты для удалённого доступа (22/3389), веб-сервисы (80/443), спам (25/465/587), а также C2-сервера (7766). Десять IP-адресов из этого сегмента имеют открытые почтовые порты, что может указывать на их использование для рассылки спама. Кроме того, уникальные SSL-отпечатки и HTTP-контент подтверждают, что сеть служит для координации кибератак.

Исследование позволило связать подсеть 185.208.158.0/24 с основным сегментом ELITETEAM. Из 256 адресов этой подсети 95 отмечены как вредоносные. Обе сети зарегистрированы на Сейшельских островах и имеют техническую связь через общие SSL-сертификаты. Восемь IP-адресов из обеих сетей использовали идентичные SSL-отпечатки в период с сентября по ноябрь 2024 года, что указывает на контроль одной хакерской группой.

Детальный анализ выявил пять подозрительных IP-адресов: 185.208.158.114, 185.208.158.115, 77.91.68.21, 147.45.47.102 и 109.107.182.45. Эти адреса выделены благодаря уникальным характеристикам SSL-сертификатов и HTTP-контента. Например, отпечаток SSL-сертификата C416E381FAF98A7E6D5B5EC34F1774B728924BD8 встречался как в подсети 185.208.158.0/24, так и в основной сети ELITETEAM.

Эксперты отмечают, что деятельность подобных хостинг-провайдеров создаёт благоприятные условия для киберпреступников. С 2015 года группа APT28 провела более 80 атак, используя пуленепробиваемые хостинги для фишинга, кражи данных и шпионажа. Размещение инфраструктуры в странах с мягким регулированием позволяет злоумышленникам избегать преследования и продолжать операции в долгосрочной перспективе.

 


Распечатать
25 июля 2025 Бывшего депутата Владимира Плахотнюка арестовали в аэропорту Греции с фальшивыми документами
25 июля 2025 В Киеве задержали администратора криминального киберфорума, заработавшего свыше 7 миллионов евро
24 июля 2025 Николая Симоненко, заместителя губернатора Брянской области, арестовали за хищение средств при строительстве оборонных объектов
24 июля 2025 В Волгоградской области ураган повалил кран и отключил электричество в части города
24 июля 2025 Фамилия Трамп часто встречается в материалах по делу Джеффри Эпштейна
24 июля 2025 Шаг к тоталитаризму: власти начнут составлять профили «неблагонадежных» подростков по всей России
24 июля 2025 США обвинили ЕС в ущемлении свободы слова из-за критики действий властей
24 июля 2025 На топливный терминал в Сириусе было совершено нападение с применением беспилотных летательных аппаратов
24 июля 2025 На приграничной территории между Таиландом и Камбоджей произошли столкновения
24 июля 2025 Восстановлена цепочка событий крушения Ан-24 в Амурской области
24 июля 2025 В Самарской области мужчине выплатили 80 тысяч рублей за четыре года тюремного заключения по подложному обвинению
24 июля 2025 Представлен список участников экипажа разбившегося Ан-24
24 июля 2025 Россия временно приостановила загрузку нефтяных танкеров в черноморских портах
24 июля 2025 Схема по выводу денег через офшоры и обманутые инвесторы: как Freedom Finance Тимура Турлова превратилась в «отмывочную пирамиду»
24 июля 2025 Бандитская схема обналички в Москва-Сити: ФНС раскрыла махинации Аль-Кетби с применением "National Pulse"
24 июля 2025 В интернете появились видео полёта Ан-24, который потерпел крушение в Амурской области
24 июля 2025 Россия атаковала Одессу с большим размахом
24 июля 2025 Заместитель руководителя уголовного розыска Кубани Армен Арутюнян организовал группу фальсификаторов, которая действует под прикрытием правосудия
24 июля 2025 Город Сочи стал объектом масштабной атаки с использованием беспилотников
24 июля 2025 Китайская компания тайно поставляет моторы для беспилотников «Гарпия-А1» в Россию