Для госсектора
Горячая линия
Для бизнеса
8 (800) 551-32-27
Наши услуги
Бесплатная консультация
Кейсы
Контакты
Горячая линия:
8 (800) 551-32-27
Бесплатная консультация

Зловредные домены

Рубрика "Ежемесячное исследование"

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff[.]com / v1.eakalra[.]ru



Вредоносные домены были всегда и никуда не исчезнут, но время от времени встречаются особенно «выдающиеся». Именно поэтому мониторинг таких ресурсов и анализ их активности остаются крайне важными задачами. В ходе исследования, которое наша команда провела с декабря 2024 по январь 2025 года, удалось выявить два домена. Они выделялись не только высокой активностью, но и интенсивным взаимодействием с заражёнными устройствами.

Первый из них
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff[.]com, обладающий обширным списком сабдоменов.
Второй
eakalra[.]ru имеющий один сабдомен.
Домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff[.]com был выявлен в результате мониторинга сетевой активности и анализа угроз. Он относится к инфраструктуре, используемой для распространения вредоносного ПО и осуществления командного управления (C2). Домен связан с кампаниями, направленными на кражу данных, атаки с использованием программ-вымогателей и фишинговые схемы.

Домен преследует широкий спектр целей, начиная от частных пользователей, заканчивая крупными корпорациями и правительственными организациями. Географически он не привязан к одной стране — атаки идут по всему миру, хотя, если смотреть на статистику, больше всего проблем с ним возникает в Северной Америке и Европе.

В качестве примера можно рассмотреть случай, связанный с атакой на одного из наших клиентов. Зараженная машина отправляла DNS-запрос к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff[.]com.
С доменом коммуницируют порядка 16 тысяч различных вредоносных файлов
Большинство вредоносных файлов, с которыми сталкиваются пользователи, — это вирусы из семейства WannaCry. Кроме них, встречаются майнеры криптовалют и шпионские программы, которые распространяются через JavaScript или зараженные APK-файлы для смартфонов на Android OS.

Интересно, что в ранних версиях WannaCry был встроен так называемый «kill switch». Проще говоря, вредоносный код пытался подключиться к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff[.]com, который в 2017 году еще не существовал. Если соединение с доменом удавалось, вирус просто прекращал свою работу. Исследователь Маркус Хатчинс, кстати, первым догадался зарегистрировать этот домен, что помогло остановить эпидемию WannaCry. Правда, в более новых версиях вируса этот механизм убрали.
Связь домена с ВПО, его сабдоменами, известными IP адресами, SSL сертификатами
Теперь наглядно о ВПО
которое распространяет iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff[.]com
Файл: ee2711ee4bbecdf18d5c30d0505c4ad6.virus
Тип: шифровальщик WannaCry
Хэш SHA-256: 00f85f4cf2443fb3d8720695ee12db4be478af9f0d866750377c933b8c5f4e26
Как работает WannaCry?
1. Заражение через уязвимость EternalBlue
WannaCry использует эксплойт EternalBlue, который эксплуатирует уязвимость в протоколе Server Message Block (SMB) версии 1 в Windows. Эта уязвимость позволяет злоумышленникам выполнять произвольный код на удаленном компьютере без авторизации.
  • Механизм атаки:
  • Эксплойт вызывает переполнение буфера в SMB, что позволяет загрузить и запустить вредоносный код на уязвимой системе;
  • Если устройство не обновлено (отсутствует патч Microsoft от марта 2017 года), оно становится уязвимым.

2. Установка бэкдора DoublePulsar
После успешного взлома через EternalBlue, WannaCry загружает DoublePulsar — бэкдор, созданный для скрытой передачи данных. Этот инструмент позволяет:
  • Сохранять доступ к системе даже после перезагрузки;
  • Загружать основной модуль ransomware (программы-вымогателя).

3. Активация шифровальщика
Основной модуль WannaCry выполняет следующие действия:
  • Сканирование сети: ищет другие другие уязвимые устройства в локальной сети или через интернет для дальнейшего распространения.
  • Шифрование файлов:
  • Использует алгоритм AES-128 для шифрования пользовательских данных (документы, изображения, базы данных и т.д.);
Ключ AES затем шифруется с помощью RSA-2048 ­- алгоритма с открытым ключом. Без приватного ключа злоумышленников расшифровать файлы невозможно.

  • Удаление теневых копий: стирает резервные копии Windows (Volume Shadow Copies), предотвращая восстановление данных без оплаты выкупа.

4. Требование выкупа: после завершения шифрования пользователю демонстрируется окно с инструкцией по оплате:
  • Сумма выкупа: изначально $300–600 в Bitcoin (индивидуальный адрес кошелька для каждой жертвы);
  • Сумма выкупа: изначально $300–600 в Bitcoin (индивидуальный адрес кошелька для каждой жертвы);
  • Сроки: окончательный срок: через 7 дней файлы будут удалены безвозвратно. Важно отметить, что в большинстве случаев злоумышленники не предоставляли ключи для расшифровки даже после оплаты.

5. Распространение
WannaCry действует, как сетевой червь:
  • Основной вектор: автоматическое заражение устройств в локальной сети через уязвимость SMB;
  • Дополнительные методы: фишинговые письма, содержащие вредоносные вложения или ссылки, но основной вектор — EternalBlue.
Последствия деятельности WannaCry
Окно выкупа WannaCry (источник Wikipedia)
Как защититься от подобных атак?
1. Установите обновления: всегда обновляйте ОС и ПО.

2. Отключите SMBv1: используйте более новые версии протокола.

3. Резервные копии: создавайте бэкапы и храните их на автономных носителях (например, на внешних дисках).

4. Антивирусы и фаерволы: блокируйте подозрительную сетевую активность.

5. Проводите регулярные тренинги осведомленности сотрудников: проинструктированные работники могут предотвратить попадание ВПО в инфраструктуру через электронную почту.

WannaCry стал настоящим тревожным звоночком для всего мира: кибербезопасность — это не шутки, а старые системы — как мина, которая может рвануть в любой момент. И компаниям, и обычным пользователям пора задуматься о современных методах защиты, чтобы минимизировать риски подобных атак.
Теперь, давайте поговорим о втором домене — eakalra[.]ru и его поддомене v1.eakalra1[.]ru.

В ходе мониторинга был выявлен домен eakalra[.]ru, к которому пытался обратиться один из компьютеров. Проверили его через VirusTotal, и, как оказалось, и сам домен, и его сабдомен являются вредоносными.
Домен eakalra[.]ru взаимодействует примерно с 50 вредоносными файлами.
Сабдомен v1.eakalra1[.]ru демонстрирует более активную деятельность - его активность связана с 1600 файлами.
Это такой же C2 сервер
Саб домен v1.eakalra[.]ru и его связи
Рассмотрим ВПО, которое распространяет и коммуницирует этот домен.Например, db468b14.exe (SHA-1561a38b09e3bff5830c40ca22226cbbc5287b4bf).
Данный файл нас отсылает к вредоносу DorkBot
Dorkbot
Dorkbot - это тип вредоносного ПО (malware), нацеленное на операционные системы Windows. Его главная задача — кража конфиденциальной информации с зараженных компьютеров, такой, как учетные данные для входа, банковская информация и пр. Обычно Dorkbot попадает на устройства через методы социальной инженерии: фишинговые письма, мгновенные сообщения или вредоносные ссылки в социальных сетях.

После заражения системы Dorkbot может выполнять различные вредоносные действия, включая:
1.   Кража данных: он может перехватывать нажатия клавиш, делать скриншоты и красть сохраненные пароли и другую конфиденциальную информацию.

2.   Ботнет-функционал: интеграция заражённых компьютеров в ботнет— сеть скомпрометированных устройств, управляемых центральным сервером. Использование ботнета для проведения распределенных атак типа «отказ в обслуживании» (DDoS), рассылки спама и распространения другого вредоносного ПО.

3.   Распространение: dorkbot может распространяться на другие компьютеры, копируя себя на съемные носители, эксплуатируя уязвимости в сети или используя социальную инженерию, чтобы заставить пользователей запустить вредоносное ПО.

Закрепление: используются различные методы для сохранения своей активности на зараженной системе, например, изменяет записи в реестре или создает запланированные задачи, чтобы оставаться активным даже после перезагрузки системы.
Сетевая и локальная деятельность db468b14.exe . ВПО активно читает системные файлы и вносит изменения в реестр
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\{EAE973BB-9386-9F93-EE9A-1C3DD553CACB}
c:\programdata\{76F95B8B-BBB6-0383-EE9A-1C3DD553CACB}\db468b14.exe
db468b14.exe будет запускаться автоматически, если пользователь будет залогинен.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware=1
db468b14.exe отключает Windows Defender
Как защититься от атак, подобных заражению Dorkbot?
1. Отключите зараженные системы от сети
  • Немедленно изолируйте зараженные системы, чтобы предотвратить распространение вредоносного ПО на другие устройства или его связь с командными серверами (C2).

2. Просканируйте и удалите вредоносное ПО
  • Используйте надежное антивирусное или антивирусное ПО для сканирования и удаления Dorkbot;
  • Убедитесь, что антивирус обновлён до последней версии базы данных определений вредоносного ПО.

3. Удалите вредоносные файлы и записи в реестре
  • Dorkbot часто создает файлы в системных каталогах и изменяет записи в реестре, используйте антивирус для их автоматической идентификации и удаления. Если делаете это вручную, будьте осторожны, чтобы не повредить систему.

4. Обновите операционные системы и программное обеспечение
  • Убедитесь, что все системы работают на последних версиях ОС и ПО, т.к., Dorkbot часто использует уязвимости в устаревшем программном обеспечении.

5. Измените пароли
  • Dorkbot может красть учётные данные. Для защиты выполните смену паролей для всех важных учётных записей (электронная почта, социальные сети, банковские сервисы и др.) с чистого и надёжного устройства.

6. Мониторинг сетевого трафика
  • Используйте инструменты анализа сетевого трафика для, чтобы выявить необычные шаблоны трафика, которые могут указывать на связь с серверами C2 Dorkbot. Блокируйте подозрительные IP-адреса на уровне брандмауэра.

7. Повышение осведомлённости пользователей
  • Организуйте обучение сотрудников для предотвращения заражений через распознавание фишинговых атак, избегание подозрительных ссылок и вложений и осознание рисков, связанных с социальной инженерией.

Восстановление и предотвращение
После того как вы удалили Dorkbot, продолжайте мониторинг системы для обнаружения признаков повторного заражения. Кроме того, стоит провести аудит и обновить политики безопасности. Внедрение лучших практик поможет вам избежать подобных атак в будущем.
Индикаторы компрометации (IoC)

1www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

10-lex-co-www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

51www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

37.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

book.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

cdn3.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

academy.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

usa.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

07jzk31.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

365.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

iphone.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

ns29.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

1wwwy.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

1wwwf.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

analytics.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

random.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

wwwaba.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

1.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

ww01.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

dnswww.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

frwww.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

nww1.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

09ww25.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

lde.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

dmjy.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

25.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

6www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

w25.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

5www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

w38.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

38.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

xn--0gbaa.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

wwwabatj.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

wwww.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

domain-www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

www8.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

banwww.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

comwww.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

hostmaster.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

w.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

ww.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

dwww.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

ww12.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

ww16.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

ww17.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

ww25.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

ww1.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

ww38.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

103.224.212.215

103.224.182.9

103.224.212.9

103.224.212.220

170.178.183.18

70.32.1.32

199.115.116.43

81.171.22.6

182.61.201.91

182.61.201.92

182.61.201.50

103.224.212.105

5.79.79.210

5.79.79.209

199.191.50.92

199.59.243.228

199.59.243.227

199.59.243.223

199.115.115.118

5.79.79.211

eakalra.ru

v1.eakalra.ru

v2.eakalra.ru

v3.eakalra.ru

v4.eakalra.ru

v5.eakalra.ru

v6.eakalra.ru

v7.eakalra.ru

v8.eakalra.ru

v9.eakalra.ru

v10.eakalra.ru

69.197.153.74

194.164.96.234

185.2.81.28

Рекомендации по защите от вредоносных доменов
1. Адреса, связанные с доменами iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff[.]com и eakalra[.]ru, представляют угрозу безопасности. Мы рекомендуем заблокировать доступ к таким доменам и их IP-адресам.

Профилактические меры для защиты инфраструктуры
1. Брандмауэр и антивирусная защита
  • Убедитесь, что брандмауэры и антивирусное ПО включены и настроены для блокировки вредоносного трафика и файлов.

2. Регулярное резервное копирование
  • Регулярно создавайте резервные копии важных данных. Храните бэкапы в автономном режиме или в защищенном облачном хранилище, чтобы предотвратить их компрометацию.

3. Управление обновлениями
  • Регулярно обновляйте все программное обеспечение, включая операционные системы, браузеры и плагины (например, Java, Flash, Adobe Reader), чтобы устранить уязвимости.

4. Отключение автозапуска для съемных носителей
  • Dorkbot может распространяться через USB-накопители. Отключите автозапуск для съемных носителей, чтобы предотвратить автоматическое выполнение вредоносных файлов.

5. Надежные пароли и двухфакторная аутентификация (2FA)
  • Установите надежные, уникальные пароли и включите двухфакторную аутентификацию для всех учетных записей, чтобы снизить риск кражи учетных данных.

6. Блокировка вредоносных доменов и IP-адресов
  • Используйте брандмауэры или службы фильтрации DNS для блокировки известных вредоносных доменов и IP-адресов, связанных с Dorkbot.

7. Ограничение прав пользователей
  • Ограничьте права учетных записей пользователей до минимально необходимых для выполнения их задач. Это может предотвратить получение вредоносным ПО административного доступа.



Итак, реальность такова: киберугрозы были, есть и будут, но это не повод опускать руки. Задача не в том, чтобы раз и навсегда победить зло, а в том, чтобы эффективно ему противостоять. Регулярные обновления систем, грамотный мониторинг подозрительных активностей и повышение цифровой грамотности сотрудников — вот три кита, на которых держится безопасность.


Так что держим курс на осознанность и грамотное использование цифрового пространства. Всем безопасного интернета!

Исследование провел
  • Эмиль Байрамов
    TI ( Threat Intelligence)-аналитик отдела мониторинга и оперативного реагирования компании "АйТи Новация"