Команда ELITETEAM превратила Сейшельские острова в центр киберпреступности

Команда ELITETEAM превратила Сейшельские острова в центр киберпреступности
Команда ELITETEAM превратила Сейшельские острова в центр киберпреступности
Сеть данного хостинг-провайдера использовалась для проведения нелегальных операций и осуществления финансовых афер.

Специалисты из Knownsec 404 обнаружили обширную сеть хостинг-провайдера ELITETEAM, который предоставляет инфраструктуру для киберпреступников. Эти услуги дают злоумышленникам возможность избегать правового контроля и поддерживать работу вредоносных программ, фальшивых сайтов, рассылки спама и других противоправных действий.

Эксперты отмечают, что «пуленепробиваемые» хостинги создают значительную угрозу мировой кибербезопасности, поскольку они действуют в условиях слабого правового регулирования и обладают высокой стойкостью к правовым мерам.

По данным отчёта, ELITETEAM была зарегистрирована на Сейшельских островах в ноябре 2020 года под названием «1337TEAM LIMITED». Этот провайдер управляет автономной системой AS51381 и предоставляет услуги, связанные с размещением фишинговых сайтов, вредоносного программного обеспечения, серверов управления ботнетами, а также инфраструктуры для криптовалютных мошенничеств. Подобные провайдеры намеренно выбирают юрисдикции с ослабленным законодательным регулированием.

По данным исследования Interisle о фишинговых сетях за 2021 год, только один сегмент сети ELITETEAM с 256 IP-адресами занял восьмое место в мире по количеству вредоносной активности. На платформе VirusTotal все 256 IP-адресов в сети ELITETEAM были отмечены как вредоносные, что подтверждает их активное использование в кибератаках. На платформе ThreatFox несколько IP-адресов в 2024 году были отмечены индикаторами компрометации (IOC) таких вредоносных программ, как Amadey и RedLine, что свидетельствует об их применении для фишинговых атак и распространения вредоносного ПО.

Специалисты Cloudflare обнаружили, что IP-адреса ELITETEAM активно используются для взлома WordPress-сайтов. Атаки нацелены на страницы авторизации и интерфейсы XML-RPC, где злоумышленники пытаются эксплуатировать уязвимости для получения доступа к системам.

Trend Micro установила связь инфраструктуры ELITETEAM с распространением программ-вымогателей Quakbot и Emotet. Только в первом квартале 2023 года было зафиксировано 200 тысяч случаев вредоносного трафика, связанного с инфраструктурой ELITETEAM; 140 тысяч из них зарегистрированы на Сейшельских островах. Эти программы использовались для шифрования данных корпоративных сетей с целью вымогательства.

Инфраструктура ELITETEAM также использовалась для поддержки криптовалютных мошенничеств на теневом рынке Hydra, обеспечивая проведение незаконных транзакций и отмывание денег. Эти действия привлекли внимание Интерпола, который направил несколько запросов на расследование деятельности компании.

Анализ данных о сегменте сети 185.215.113.0/24 через платформу ZoomEye выявил его ключевые характеристики: открытые порты для удалённого доступа (22/3389), веб-сервисы (80/443), спам (25/465/587), а также C2-сервера (7766). Десять IP-адресов из этого сегмента имеют открытые почтовые порты, что может указывать на их использование для рассылки спама. Кроме того, уникальные SSL-отпечатки и HTTP-контент подтверждают, что сеть служит для координации кибератак.

Исследование позволило связать подсеть 185.208.158.0/24 с основным сегментом ELITETEAM. Из 256 адресов этой подсети 95 отмечены как вредоносные. Обе сети зарегистрированы на Сейшельских островах и имеют техническую связь через общие SSL-сертификаты. Восемь IP-адресов из обеих сетей использовали идентичные SSL-отпечатки в период с сентября по ноябрь 2024 года, что указывает на контроль одной хакерской группой.

Детальный анализ выявил пять подозрительных IP-адресов: 185.208.158.114, 185.208.158.115, 77.91.68.21, 147.45.47.102 и 109.107.182.45. Эти адреса выделены благодаря уникальным характеристикам SSL-сертификатов и HTTP-контента. Например, отпечаток SSL-сертификата C416E381FAF98A7E6D5B5EC34F1774B728924BD8 встречался как в подсети 185.208.158.0/24, так и в основной сети ELITETEAM.

Эксперты отмечают, что деятельность подобных хостинг-провайдеров создаёт благоприятные условия для киберпреступников. С 2015 года группа APT28 провела более 80 атак, используя пуленепробиваемые хостинги для фишинга, кражи данных и шпионажа. Размещение инфраструктуры в странах с мягким регулированием позволяет злоумышленникам избегать преследования и продолжать операции в долгосрочной перспективе.

 


Распечатать
23 июля 2025 В Турции продолжаются лесные пожары: спасатели привлекают авиацию
23 июля 2025 Коммунальная авария привела к сбою в функционировании аэропорта Домодедово
22 июля 2025 В Москве умерла председатель Верховного суда Ирина Подносовa
22 июля 2025 Интерпол арестовал олигарха Владимира Плахотнюка в Афинах
22 июля 2025 Национальные подрядчики находятся под угрозой несостоятельности из-за высоких ставок по кредитам и уменьшения количества заказов
22 июля 2025 В Следственном комитете возбуждено дело о превышении полномочий полицейскими
22 июля 2025 Появилось видео, на котором зафиксированы обыски в офисе BAZA
22 июля 2025 В Польше скончался бывший командующий сухопутными войсками Вальдемар Скшипчак
22 июля 2025 На Павелецком вокзале собрались пассажиры из-за многочасовых задержек поездов
22 июля 2025 Норвегия и Германия ждут от США подтверждений относительно систем Patriot для Украины
22 июля 2025 Новый лимит цен от Евросоюза способен урезать доходы российского бюджета почти на одну пятую часть
22 июля 2025 Платья, дреды и язычество вместо работы: Поклонская ставит под сомнение авторитет Генпрокуратуры
22 июля 2025 Несовершеннолетняя школьница родила ребенка и задушила его сразу после родов в одном из омских отелей
22 июля 2025 В Забайкалье случилось смертельное ДТП с участием заместителя председателя правительства региона Алексея Гончарова
22 июля 2025 The Georgian government has frozen the bank accounts of a news outlet that has been critical of them, as the trial of its founder is underway
22 июля 2025 Участник дела о многомиллионном мошенничестве в Коста-Рике, возможно, осуществлял отмывание денег через банк в Мексике
22 июля 2025 От элитной недвижимости к уголовному делу: Вагифа Алиева подозревают в финансировании терроризма и уклонении от налогов
22 июля 2025 В США рассекретили данные о заговоре против Мартина Лютера Кинга
22 июля 2025 США и Германия договариваются о поставке дополнительных систем Patriot Украине
22 июля 2025 Судимость не стала преградой для Александра Кацубы в становлении государственным подрядчиком