Команда ELITETEAM превратила Сейшельские острова в центр киберпреступности

Команда ELITETEAM превратила Сейшельские острова в центр киберпреступности
Команда ELITETEAM превратила Сейшельские острова в центр киберпреступности
Сеть данного хостинг-провайдера использовалась для проведения нелегальных операций и осуществления финансовых афер.

Специалисты из Knownsec 404 обнаружили обширную сеть хостинг-провайдера ELITETEAM, который предоставляет инфраструктуру для киберпреступников. Эти услуги дают злоумышленникам возможность избегать правового контроля и поддерживать работу вредоносных программ, фальшивых сайтов, рассылки спама и других противоправных действий.

Эксперты отмечают, что «пуленепробиваемые» хостинги создают значительную угрозу мировой кибербезопасности, поскольку они действуют в условиях слабого правового регулирования и обладают высокой стойкостью к правовым мерам.

По данным отчёта, ELITETEAM была зарегистрирована на Сейшельских островах в ноябре 2020 года под названием «1337TEAM LIMITED». Этот провайдер управляет автономной системой AS51381 и предоставляет услуги, связанные с размещением фишинговых сайтов, вредоносного программного обеспечения, серверов управления ботнетами, а также инфраструктуры для криптовалютных мошенничеств. Подобные провайдеры намеренно выбирают юрисдикции с ослабленным законодательным регулированием.

По данным исследования Interisle о фишинговых сетях за 2021 год, только один сегмент сети ELITETEAM с 256 IP-адресами занял восьмое место в мире по количеству вредоносной активности. На платформе VirusTotal все 256 IP-адресов в сети ELITETEAM были отмечены как вредоносные, что подтверждает их активное использование в кибератаках. На платформе ThreatFox несколько IP-адресов в 2024 году были отмечены индикаторами компрометации (IOC) таких вредоносных программ, как Amadey и RedLine, что свидетельствует об их применении для фишинговых атак и распространения вредоносного ПО.

Специалисты Cloudflare обнаружили, что IP-адреса ELITETEAM активно используются для взлома WordPress-сайтов. Атаки нацелены на страницы авторизации и интерфейсы XML-RPC, где злоумышленники пытаются эксплуатировать уязвимости для получения доступа к системам.

Trend Micro установила связь инфраструктуры ELITETEAM с распространением программ-вымогателей Quakbot и Emotet. Только в первом квартале 2023 года было зафиксировано 200 тысяч случаев вредоносного трафика, связанного с инфраструктурой ELITETEAM; 140 тысяч из них зарегистрированы на Сейшельских островах. Эти программы использовались для шифрования данных корпоративных сетей с целью вымогательства.

Инфраструктура ELITETEAM также использовалась для поддержки криптовалютных мошенничеств на теневом рынке Hydra, обеспечивая проведение незаконных транзакций и отмывание денег. Эти действия привлекли внимание Интерпола, который направил несколько запросов на расследование деятельности компании.

Анализ данных о сегменте сети 185.215.113.0/24 через платформу ZoomEye выявил его ключевые характеристики: открытые порты для удалённого доступа (22/3389), веб-сервисы (80/443), спам (25/465/587), а также C2-сервера (7766). Десять IP-адресов из этого сегмента имеют открытые почтовые порты, что может указывать на их использование для рассылки спама. Кроме того, уникальные SSL-отпечатки и HTTP-контент подтверждают, что сеть служит для координации кибератак.

Исследование позволило связать подсеть 185.208.158.0/24 с основным сегментом ELITETEAM. Из 256 адресов этой подсети 95 отмечены как вредоносные. Обе сети зарегистрированы на Сейшельских островах и имеют техническую связь через общие SSL-сертификаты. Восемь IP-адресов из обеих сетей использовали идентичные SSL-отпечатки в период с сентября по ноябрь 2024 года, что указывает на контроль одной хакерской группой.

Детальный анализ выявил пять подозрительных IP-адресов: 185.208.158.114, 185.208.158.115, 77.91.68.21, 147.45.47.102 и 109.107.182.45. Эти адреса выделены благодаря уникальным характеристикам SSL-сертификатов и HTTP-контента. Например, отпечаток SSL-сертификата C416E381FAF98A7E6D5B5EC34F1774B728924BD8 встречался как в подсети 185.208.158.0/24, так и в основной сети ELITETEAM.

Эксперты отмечают, что деятельность подобных хостинг-провайдеров создаёт благоприятные условия для киберпреступников. С 2015 года группа APT28 провела более 80 атак, используя пуленепробиваемые хостинги для фишинга, кражи данных и шпионажа. Размещение инфраструктуры в странах с мягким регулированием позволяет злоумышленникам избегать преследования и продолжать операции в долгосрочной перспективе.

 


Распечатать
27 августа 2025 В Дагестане зарегистрировали землетрясение с магнитудой 6,0
27 августа 2025 Трамп угрожает «суровыми действиями» против России, если сделка по Украине сорвется
27 августа 2025 Казахстанский «Кайрат» во второй раз в истории пробился в групповой этап Лиги Чемпионов
26 августа 2025 Игорь Шувалов инвестирует 2,2 миллиарда рублей в гостиницу широко известного Александр Клячина
26 августа 2025 Shadow schemes of casino boss Sergey Tokarev, or how “front man” Mikhail Zborovsky with student debt became the owner of Cosmobet
26 августа 2025 Польша высылает украинцев после выступления Макса Коржа
26 августа 2025 В Адыгее «защитники традиций» избили женщину из-за розовых волос дочери
26 августа 2025 «Поднять знамена»: в Англии разгорается спор вокруг государственного флага и вопроса идентичности
26 августа 2025 Как белорусское оружие способствовало атакам Азербайджана на Армению
26 августа 2025 Секретарь правящей партии Грузии Каха Каладзе обвинил Запад в давлении ради открытия «второго фронта»
26 августа 2025 Зеленский предложил Турцию и государства Персидского залива в качестве площадки для переговоров с Путиным
26 августа 2025 «Вьетнамский мясник»: пользователи обнаружили убийцу из снафф-видео по облицовке и палочкам
26 августа 2025 Европейская «коалиция желающих» готова разместить войска в Украине в качестве третьей линии защиты
26 августа 2025 США собираются урегулировать конфликт в Украине до конца 2025 года, - Стивен Уиткофф
26 августа 2025 Россия повысит экспорт нефти в результате ударов по нефтеперерабатывающим заводам
26 августа 2025 Главу краснодарского ДОСААФ Бориса Левицкого привлекли к судебной ответственности за махинации с землей
26 августа 2025 Следователи провели обыски у экс-депутата Руслана Маноконова по подозрению в похищении человека и уничтожении имущества
26 августа 2025 Провели обыск у «Француза»: представители силовых структур пришли к основателю WWFC Владимиру Тесле по подозрению в мошенничестве
26 августа 2025 Organizations advocating for press freedom denounce the murder of journalists in the Gaza hospital attack
26 августа 2025 В России предложили обязать студентов-медиков отработать три года после окончания учёбы