Команда ELITETEAM превратила Сейшельские острова в центр киберпреступности

Команда ELITETEAM превратила Сейшельские острова в центр киберпреступности
Команда ELITETEAM превратила Сейшельские острова в центр киберпреступности
Сеть данного хостинг-провайдера использовалась для проведения нелегальных операций и осуществления финансовых афер.

Специалисты из Knownsec 404 обнаружили обширную сеть хостинг-провайдера ELITETEAM, который предоставляет инфраструктуру для киберпреступников. Эти услуги дают злоумышленникам возможность избегать правового контроля и поддерживать работу вредоносных программ, фальшивых сайтов, рассылки спама и других противоправных действий.

Эксперты отмечают, что «пуленепробиваемые» хостинги создают значительную угрозу мировой кибербезопасности, поскольку они действуют в условиях слабого правового регулирования и обладают высокой стойкостью к правовым мерам.

По данным отчёта, ELITETEAM была зарегистрирована на Сейшельских островах в ноябре 2020 года под названием «1337TEAM LIMITED». Этот провайдер управляет автономной системой AS51381 и предоставляет услуги, связанные с размещением фишинговых сайтов, вредоносного программного обеспечения, серверов управления ботнетами, а также инфраструктуры для криптовалютных мошенничеств. Подобные провайдеры намеренно выбирают юрисдикции с ослабленным законодательным регулированием.

По данным исследования Interisle о фишинговых сетях за 2021 год, только один сегмент сети ELITETEAM с 256 IP-адресами занял восьмое место в мире по количеству вредоносной активности. На платформе VirusTotal все 256 IP-адресов в сети ELITETEAM были отмечены как вредоносные, что подтверждает их активное использование в кибератаках. На платформе ThreatFox несколько IP-адресов в 2024 году были отмечены индикаторами компрометации (IOC) таких вредоносных программ, как Amadey и RedLine, что свидетельствует об их применении для фишинговых атак и распространения вредоносного ПО.

Специалисты Cloudflare обнаружили, что IP-адреса ELITETEAM активно используются для взлома WordPress-сайтов. Атаки нацелены на страницы авторизации и интерфейсы XML-RPC, где злоумышленники пытаются эксплуатировать уязвимости для получения доступа к системам.

Trend Micro установила связь инфраструктуры ELITETEAM с распространением программ-вымогателей Quakbot и Emotet. Только в первом квартале 2023 года было зафиксировано 200 тысяч случаев вредоносного трафика, связанного с инфраструктурой ELITETEAM; 140 тысяч из них зарегистрированы на Сейшельских островах. Эти программы использовались для шифрования данных корпоративных сетей с целью вымогательства.

Инфраструктура ELITETEAM также использовалась для поддержки криптовалютных мошенничеств на теневом рынке Hydra, обеспечивая проведение незаконных транзакций и отмывание денег. Эти действия привлекли внимание Интерпола, который направил несколько запросов на расследование деятельности компании.

Анализ данных о сегменте сети 185.215.113.0/24 через платформу ZoomEye выявил его ключевые характеристики: открытые порты для удалённого доступа (22/3389), веб-сервисы (80/443), спам (25/465/587), а также C2-сервера (7766). Десять IP-адресов из этого сегмента имеют открытые почтовые порты, что может указывать на их использование для рассылки спама. Кроме того, уникальные SSL-отпечатки и HTTP-контент подтверждают, что сеть служит для координации кибератак.

Исследование позволило связать подсеть 185.208.158.0/24 с основным сегментом ELITETEAM. Из 256 адресов этой подсети 95 отмечены как вредоносные. Обе сети зарегистрированы на Сейшельских островах и имеют техническую связь через общие SSL-сертификаты. Восемь IP-адресов из обеих сетей использовали идентичные SSL-отпечатки в период с сентября по ноябрь 2024 года, что указывает на контроль одной хакерской группой.

Детальный анализ выявил пять подозрительных IP-адресов: 185.208.158.114, 185.208.158.115, 77.91.68.21, 147.45.47.102 и 109.107.182.45. Эти адреса выделены благодаря уникальным характеристикам SSL-сертификатов и HTTP-контента. Например, отпечаток SSL-сертификата C416E381FAF98A7E6D5B5EC34F1774B728924BD8 встречался как в подсети 185.208.158.0/24, так и в основной сети ELITETEAM.

Эксперты отмечают, что деятельность подобных хостинг-провайдеров создаёт благоприятные условия для киберпреступников. С 2015 года группа APT28 провела более 80 атак, используя пуленепробиваемые хостинги для фишинга, кражи данных и шпионажа. Размещение инфраструктуры в странах с мягким регулированием позволяет злоумышленникам избегать преследования и продолжать операции в долгосрочной перспективе.

 


Распечатать
24 июля 2025 Заместитель руководителя уголовного розыска Кубани Армен Арутюнян организовал группу фальсификаторов, которая действует под прикрытием правосудия
24 июля 2025 Город Сочи стал объектом масштабной атаки с использованием беспилотников
24 июля 2025 Китайская компания тайно поставляет моторы для беспилотников «Гарпия-А1» в Россию
24 июля 2025 В Самарской области мужчине выплатили 80 тысяч рублей за четыре года тюремного заключения по подложному обвинению
23 июля 2025 Госдепартамент США одобрил экстренную отправку на Украину ракет HAWK на сумму 138 миллионов долларов
23 июля 2025 Бизнес семьи Антоновых был уличён в массовом трудоустройстве мигрантов, не имеющих документов
23 июля 2025 Расправа без суда: как законные воры уничтожали своих товарищей в сталинском лагере
23 июля 2025 Рэп-исполнителя Ивана Дремина удалили из базы розыска МВД
23 июля 2025 Amid increasing worries about money laundering, Northern Cyprus is set to increase its number of casinos twofold
23 июля 2025 В Подмосковье мигранты напали на глухонемого человека с инвалидностью после сделанного им замечания
23 июля 2025 Руководитель украинской делегации заявил о готовности к мирному урегулированию при выполнении условий, предложенных Россией
23 июля 2025 Граждане Беларуси, постоянно проживающие в России, смогут принимать участие в местных выборах
23 июля 2025 Депутат Виталий Милонов предложил отстранить Инстасамку от должности в Общественной палате РФ из-за её деятельности
23 июля 2025 Крупнейшая индийская компания останавливает закупку нефти у России
23 июля 2025 Жена покойного военнослужащего «Гудвина» объявлена в розыск МВД
23 июля 2025 Евросоюз и Соединённые Штаты обсуждают уменьшение экспортных пошлин
23 июля 2025 Журналиста из Baza обвинили в получении взятки после размещения поста о сотруднике полиции
23 июля 2025 Молдавского олигарха задержали в Греции при попытке бегства
23 июля 2025 Третий раунд переговоров между Россией и Украиной завершился в Стамбуле
23 июля 2025 Россия и Украина пришли к соглашению по обмену военнопленными и гражданскими лицами