Изследователи по киберсигурност предупреждават, че руският автономен хостинг оператор Proton66 е свързан с така наречени „bulletproof“ услуги, които поддържат множество злонамерени кампании по целия свят.
Proton66 (ASN: AS198953) представлява анонимна автономна система, свързана с по-широка инфраструктура, управлявана от руски гражданин, който предлага устойчив на разследвания хостинг на киберпрестъпници.
От януари 2025 г. анализаторите на Trustwave SpiderLabs наблюдават рязко увеличение на злонамерени атаки, идващи от тази автономна система. Атаките включват:
масово сканиране на уязвимости
атаки чрез изпробване на пароли (brute force)
експлоатация на известни уязвимости
Основни цели са технологични и финансови организации по целия свят, както и организации с нестопанска цел и инженерни структури.
Един от IP адресите, свързан с Proton66, е използван в атаки, които са довели до заразяване със SuperBlack рансъмуер – нова форма на изнудващ зловреден софтуер.
Злоупотребите включват експлоатация на известни уязвимости в устройства и системи:
D-Link NAS (CVE-2024-10914)
Fortinet FortiOS (CVE-2024-55591 и CVE-2025-24472)
Mitel MiCollab (CVE-2024-41713)
Palo Alto Networks PAN-OS (CVE-2025-0108)
Proton66 е свързан и с кампании, насочени към потребители на Android чрез фалшиви страници, имитиращи Google Play, достъпни на английски, френски, гръцки и испански. Злонамерените скриптове са били вмъкнати в компрометирани WordPress сайтове и хоствани на IP адреси, свързани с Proton66.
Впоследствие, част от домейните, обслужващи тези скриптове, са били преместени към инфраструктура на Chang Way Technologies – възможен опит за прикриване на произхода.
През март 2025 г., услуги, хоствани в мрежата на Proton66, са разпространявали зловреден код от веригата за заразяване със XWorm – троянец, използван в социално инженерство, насочен към корейскоговорящи потребители чрез чат групи за инвестиции.
Също така, Proton66 е бил използван за разпространение на Strela Stealer – малуер, насочен към потребители на имейл клиенти Thunderbird и Outlook в Австрия, Германия, Лихтенщайн, Люксембург и Швейцария.
SpiderLabs съобщава, че в мрежата на Proton66 се намират множество командни сървъри (C&C), включително такива, свързани с WeaXor – вариант на известния Mallox рансъмуер.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
