Hakerzy wykorzystują odporny rosyjski hosting Proton66 do globalnych cyberataków

Aktywność, widoczna w sieci od stycznia 2025, skierowana jest przeciwko organizacjom na całym świecie, zgodnie z dwuczęściową analizą opublikowaną przez Trustwave SpiderLabs w zeszłym tygodniu.

„Bloki 45.135.232.0/24 i 45.140.17.0/24 były szczególnie aktywne pod względem masowego skanowania i prób brute-force”, napisali polscy specjaliści Paweł Knapczyk i Dawid Nesterowicz. „Kilka z adresów IP, które naruszały polityki, nie było wcześniej obserwowanych jako zaangażowane w złośliwą aktywność lub były nieaktywne przez ponad dwa lata”.

Kilka rodzin złośliwego oprogramowania, w tym GootLoader i SpyNote, hostowało swoje serwery C&C oraz strony phishingowe na Proton66. Na początku lutego dziennikarz zajmujący się bezpieczeństwem Brian Krebs ujawnił, że Prospero zaczęło kierować swoje operacje przez sieci prowadzone przez rosyjskiego dostawcę oprogramowania antywirusowego Kaspersky Lab w Moskwie.

Jednak Kaspersky zaprzeczył doniesieniom o współpracy z Prospero, stwierdzając, że „kierowanie ruchu przez sieci obsługiwane przez Kaspersky nie oznacza domyślnie świadczenia usług, ponieważ automatyczna ścieżka systemowa (AS) Kaspersky może pojawić się jako techniczny prefiks w sieci dostawców telekomunikacyjnych, z którymi współpracuje firma i którzy świadczą swoje usługi DDoS”. Pewnie nie dowiemy się prawdy. Organizacje mogą ciągle oskarżać siebie nawzajem i przerzucać winę.

Najnowsza analiza firmy Trustwave wykazała, że ​​złośliwe żądania pochodzące z jednego z bloków sieciowych Proton66 (193.143.1[.]65) w lutym 2025 r. miały na celu wykorzystanie niektórych z następujących najnowszych krytycznych podatności:

• CVE-2025-0108 – podatność umożliwiająca ominięcie uwierzytelniania w oprogramowaniu Palo Alto Networks PAN-OS,
• CVE-2024-41713 – podatność wykorzystująca niewystarczającą walidację danych wejściowych w komponencie NuPoint Unified Messaging (NPM) Mitel MiCollab,
• CVE-2024-10914 – podatność umożliwiająca wstrzykiwanie poleceń w systemie D-Link NAS,
• CVE-2024-55591 i CVE-2025-24472 – podatności umożliwiające ominięcie uwierzytelniania w systemie Fortinet FortiOS.

Trustwave poinformował o ​​zaobserwowaniu również kilku kampanii malware powiązanych z Proton66, których celem jest dystrybucja rodzin złośliwego oprogramowania takich jak XWorm, StrelaStealer i ransomware o nazwie WeaXor.

Inna godna uwagi aktywność dotyczy wykorzystania zainfekowanych witryn WordPress powiązanych z adresem IP z zakresu Proton66 w celu przekierowywania użytkowników urządzeń z systemem Android na strony phishingowe. Treść witryn nakłania użytkowników do pobrania złośliwych plików APK. Analiza fałszywych nazw domen Play Store wskazuje, że kampania ma na celu dotarcie do użytkowników posługujących się językiem francuskim, hiszpańskim lub greckim.

Na jednym z adresów IP Proton66 znajduje się również archiwum ZIP, które prowadzi do wdrożenia złośliwego oprogramowania XWorm, w szczególności wyszukując za pomocą schematów socjotechnicznych użytkowników czatów mówiących po koreańsku. Pierwszym etapem ataku jest skrót systemu Windows (LNK), który wykonuje polecenie programu PowerShell, uruchamiające następnie skrypt języka Visual Basic. Ten z kolei pobiera zakodowaną w formacie Base64 bibliotekę DLL .NET z tego samego adresu IP. Biblioteka DLL pobiera i ładuje plik binarny XWorm.

Powiązana z Proton66 infrastruktura została również wykorzystana do ułatwienia kampanii phishingowej skierowanej do użytkowników niemieckojęzycznych za pomocą StrelaStealera, złodzieja informacji, który komunikuje się z adresem IP (193.143.1[.]205) dla C2.

Takich przykładów zostało w ostatnich miesiącach odkrytych znacznie więcej. Organizacjom zaleca się zablokowanie wszystkich zakresów CIDR (Classless Inter-Domain Routing) powiązanych z Proton66 i Chang Way Technologies, czyli providerem z siedzibą w Hongkongu. Jest to na razie najskuteczniejsza forma neutralizacji potencjalnych zagrożeń.