Специалисты ASERT (Arbor Security Engineering & Response Team) сумели обнаружить множество серверов и доменных имен, входивших в инфраструктуру малвари LoJax, что позволило изучить работу операторов малвари подробнее.

Напомню, что впервые LoJax заметили аналитики компании Arbor Networks в мае 2018 года. LoJax — это «близнец» легитимного решения LoJack от компании Absolute Software, созданного для защиты устройств от утери и кражи. Инструмент встраивается в UEFI и позволяет, к примеру, отслеживать местонахождение устройства или удаленно стереть данные.

Осенью 2018 года эксперты ESET рассказали о том, что LoJax используется известной группой российских правительственных хакеров APT28 (она же Sednit, Fancy Bear, Strontium, Sofacy и так далее). Тогда LoJax применялся для внедрения на целевые машины первого известного руткита для Unified Extensible Firmware Interface (UEFI).

Теперь исследователи ASERT обнародовали новые подробности об инфраструктуре LoJax, согласно которым, малварь активна как минимум с 2016 года. Кроме того, судя по масштабам инфраструктуры, угроза вовсе не была новым инструментом, использованным лишь для нескольких целевых атак.

Специалисты сопоставили свои данные с индикаторами компрометации, опубликованными британским Национальным центром кибербезопасности (NCSC) для малвари Fancy bear в октябре прошлого года, и нашли множество совпадений.

Обнаруженные ASERT домены Данные NCSC
Неизвестно 185.86.148[.]184
moldstream[.]md 185.181.102[.]201
visualrates[.]com 169.239.129[.]121
regvirt[.]com 46.21.147[.]71
ntpstatistics[.]com 169.239.128[.]133
oiatribe[.]com 162.208.10[.]66
msfontserver[.]com 179.43.158[.]20
treckanalytics[.]com 94.177.12[.]150
unigymboom[.]com 185.86.151[.]2
sysanalyticweb[.]com 54.37.104[.]106
remotepx[.]net 85.204.124[.]77
vsnet[.]co 46.21.147[.]76
hp-apps[.]com 185.86.149[.]116
jflynci[.]com 185.86.151[.]104
peacefund[.]eu 185.183.107[.]40
elaxo[.]org 86.106.131[.]54
oiagives[.]com 162.208.10[.]66
Неизвестно 93.113.131[.]103
webstp[.]com 185.94.191[.]65

Также исследователи обнаружили, что придание LoJax огласке, похоже, не слишком помешало операциям Fancy Bear, так как два управляющих сервера малвари доступы до сих пор: 185.86.151[.]2 (unigymboom[.]com) и 169.239.128[.]133 (ntpstatistics[.]com).

Изучив историю регистрации найденных доменов, специалисты заметили, что некоторые из них были зарегистрированные еще в «нулевых». Впрочем, это, конечно, не означает, что хакеры использовали их все это время.

Оставить мнение