Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Группа Proxy Trickster атаковала почти 900 серверов в 58 странах мира (http://txgate.io:443/showthread.php?t=51302074)

Artifact 07-27-2025 02:15 PM
<div id="post_message_804590">

Специалисты Solar 4RAYS ГК «Солар» <a href="https://rt-solar.ru/solar-4rays/blog/5714/" target="_blank">обнаружили </a>новую хак-группу Proxy Trickster, которая занимается майнингом криптовалют и проксиджекингом (перехватом контроля над серверами для их преобразования и продажи). За год злоумышленники атаковали почти 900 серверов в 58 странах мира, включая Россию.<br/>
<br/>
В марте 2025 года специалисты расследовали ИБ-инцидент в неназванной российской ИТ-компании и обнаружили активность неизвестной ранее группировки, которая получила название Proxy Trickster.<br/>
<br/>
Основной доход хакеры получают от майнинга криптовалют и проксиджекинга, то есть перехватывают контроль над легитимными серверами с помощью известных уязвимостей, преобразуют их в прокси-серверы, а затем продают в даркнете другим преступникам, чтобы те могли скрывать свою активность и IP-адреса.<br/>
<br/>
Первые найденные следы атак Proxy Trickster датированы маем 2024 года, и с тех пор хакеры не прекращали свою деятельность.<br/>
<br/>
В исследованной экспертами атаке точку входа восстановить не удалось, однако аналитики компании Cado Security <a href="https://www.cadosecurity.com/blog/from-automation-to-exploitation-the-growing-misuse-of-selenium-grid-for-cryptomining-and-proxyjacking" target="_blank">писали</a>, что группа использует ранее обнаруженные уязвимости в Selenium Grid. В случае, изученном Solar 4RAYS, это ПО не использовалось, поэтому возникло предложение, что группа атакует различные публично доступные сервисы, в которых присутствуют уже известные уязвимости.<br/>
<br/>
Более чем за год деятельности хак-группы было заражено не менее 874 устройств в 58 странах. Больше всего атакованных серверов обнаружены в США (16% от общего числа зараженных серверов), Германии (6%), России (4%), Украине (4%), Франции (4%) и других странах. Из этого исследователи делают вывод, что география целей не волнует хакеров, — они атакуют любые доступные серверы с целью заработка.<br/>
<br/>
Исследователи полагают, что группировка является скорее любительской, но использует инструменты и методики профессиональных хакеров, атакующих с целью шпионажа и деструктивных действий.<br/>
<br/>
К примеру, Proxy Trickster подменяет системные утилиты (ps, pstree, pkill) на кастомные скрипты, маскирующие вредоносные процессы (например, [kworker/u8:1-events_unbound]) от системных администраторов, а также использует многоуровневую автоматизацию атак.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/07/541908/shema-skriptov.jpg"/><br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

Общая схема работы скриптов

</td>
</tr>
</table>
</div>Помимо этого, группировка сохраняет доступы к атакованным серверам, что в теории позволяет проводить и более сложные атаки. То есть группа может представлять угрозу для сотен, если не тысяч компаний, в том числе в России.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Мы в Solar 4RAYS пока не обнаружили подтверждения тому, что эти хакеры реализовали более сложные атаки, но не факт, что этого не может произойти в будущем. Например, доступ к взломанным серверам может быть продан другим злоумышленникам, и те могут использовать его для нанесения более серьезных ударов. ИБ-командам организаций следует обратить внимание на эту угрозу и принять меры для защиты от нее», — комментирует Иван Сюхин, руководитель группы расследования инцидентов центра исследования Solar 4RAYS, ГК «Солар».</font>
</td>
</tr>
</table>
</div><a href="https://xakep.ru/2025/07/22/proxy-trickster/" target="_blank">@ xakep.ru</a>
</div>


All times are GMT. The time now is 12:15 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.