🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os pesquisadores de segurança cibernética sinalizaram uma rede de IP ucranianos para se envolver em campanhas maciças de força bruta e pulverização de senha direcionadas aos dispositivos SSL VPN e RDP entre junho e julho de 2025.
A atividade se originou de um sistema autônomo FDN3, com sede na Ucrânia, (AS211736), de acordo com a empresa francesa de segurança cibernética Intrinsec.
"Acreditamos com um alto nível de confiança que o FDN3 faz parte de uma infraestrutura abusiva mais ampla composta por duas outras redes ucranianas, Vaiz-AS (AS61432) e Erishennya-ASN (AS210950) e um sistema autônomo baseado em Seychelles chamado TK-NET (AS210848)", "
"Todos foram alocados em agosto de 2021 e geralmente trocam prefixos de IPv4 entre si para evitar a lista de bloqueios e continuar hospedando atividades abusivas".
Atualmente, o AS61432 anuncia um único prefixo 185.156.72 [.] 0/24, enquanto o AS210950 anunciou dois prefixos 45.143.201 [.] 0/24 e
185.193.89 [.] 0/24. Os dois sistemas autônomos foram alocados em maio e agosto de 2021, respectivamente. Uma grande parte de seus prefixos foi anunciada no AS210848, outro sistema autônomo também alocado em agosto de 2021.
"Esta rede compartilha todos os seus acordos de peering com a IP Volume Inc. - AS202425, uma empresa sediada em Seychelles e criada pelos proprietários da Ecatel, infame por administrar um serviço de hospedagem à prova de balas extensivamente abusivo na Holanda desde 2005", observou Intrinsec.
A totalidade dos prefixos que foram transferidos da AS61432 e do AS210950 agora são anunciados por redes à prova de balas e abusivas, lideradas por empresas de concha como a Global Internet Solutions LLC (Gir.Network), a Global Connectivity Solutions LLP, Verasel, IP Volume Inc. e Telkom Internet LTD.
As descobertas se baseiam em divulgações anteriores sobre como várias redes alocadas em agosto de 2021 e baseadas na Ucrânia e nas Seychelles-AS61432, AS210848 e AS210950-foram usadas para distribuição de spam, ataques de rede e hospedagem de comando e controle de malware. Em junho de 2025, alguns dos prefixos IPv4 anunciados por essas redes foram transferidos para o FDN3, que foi criado em agosto de 2021.
Isso não é tudo. Três dos prefixos anunciados pelo AS210848 e um pela AS61432 foram anunciados anteriormente por outra rede russa, Sibirinvest OOO (AS4446). Dos quatro prefixos IPv4 anunciados pelo FDN3, um deles (88.210.63 [.] 0/24) é avaliado como foi anunciado anteriormente por uma solução de hospedagem à prova de balas dos EUA chamada Virtualine (AS214940 e AS214943).
É essa linha de prefixos IPv4 que foi atribuída a tentativas de força bruta e pulverização de senha em larga escala, com a atividade em um recorde alto entre os 6 e 8 de julho de 2025.
Os esforços de pulverização de força bruta e senha destinados aos ativos SSL VPN e RDP podem durar até três dias, por Intrinsec. Vale a pena notar que essas técnicas foram adotadas por vários grupos de ransomware como serviço (RAAS) como Black Basta, Global Group e Ransomhub como um vetor de acesso inicial a violar redes corporativas.
Os outros dois prefixos que o FDN3 anunciaram em junho, 92.63.197 [.] 0/24 e 185.156.73 [.] 0/24, foram anunciados anteriormente pelo AS210848, indicando um alto grau de sobreposição operacional. 92.63.197 [.] 0/24, por sua parte, tem vínculos com redes de spam búlgaras como Roza-AS (AS212283).
"Todas essas fortes semelhanças, incluindo sua configuração, o conteúdo que eles hospedam e sua data de criação, nos levaram a avaliar com um alto nível de confiança que os sistemas autônomos mencionados anteriormente a serem operados por um administrador de hospedagem à prova de balas comum", explicou o Intrinsec.
Uma análise mais aprofundada do FDN3 descobriu laços com uma empresa russa chamada Alex Host LLC que, no passado, estava ligada a provedores de hospedagem à prova de balas como a TNSecurity, que foram usados para hospedar infraestrutura de doppelganger.
"Esta investigação mais uma vez destaca um fenômeno comum de ISPs offshore, como o IP Volume Inc., permitindo redes menores à prova de balas por meio de acordos de pares e hospedagem de prefixo em geral", disse a empresa. "Graças ao seu local offshore, como Seychelles, que fornece anonimato aos proprietários dessas empresas, as atividades maliciosas perpetradas por essas redes não podem ser diretamente imputadas a elas".
O desenvolvimento ocorre quando a Censys descobriu um sistema de gerenciamento de proxy Connect-Back associado à Botnet Polaredge que está atualmente em mais de 2.400 hosts. O sistema é um servidor RPX que opera como um gateway proxy de conexão reversa capaz de gerenciar nós de proxy e expor os serviços de proxy.
"Esse sistema parece ser um servidor bem projetado que pode ser uma das muitas ferramentas usadas para gerenciar a botnet de polaredge", disse o pesquisador sênior de segurança Mark Ellzey. "Também é possível que esse serviço específico não esteja relacionado ao Polaredge e seja um serviço que o botnet utiliza para pular entre diferentes relés".
Encontrado thi
A atividade se originou de um sistema autônomo FDN3, com sede na Ucrânia, (AS211736), de acordo com a empresa francesa de segurança cibernética Intrinsec.
"Acreditamos com um alto nível de confiança que o FDN3 faz parte de uma infraestrutura abusiva mais ampla composta por duas outras redes ucranianas, Vaiz-AS (AS61432) e Erishennya-ASN (AS210950) e um sistema autônomo baseado em Seychelles chamado TK-NET (AS210848)", "
"Todos foram alocados em agosto de 2021 e geralmente trocam prefixos de IPv4 entre si para evitar a lista de bloqueios e continuar hospedando atividades abusivas".
Atualmente, o AS61432 anuncia um único prefixo 185.156.72 [.] 0/24, enquanto o AS210950 anunciou dois prefixos 45.143.201 [.] 0/24 e
185.193.89 [.] 0/24. Os dois sistemas autônomos foram alocados em maio e agosto de 2021, respectivamente. Uma grande parte de seus prefixos foi anunciada no AS210848, outro sistema autônomo também alocado em agosto de 2021.
"Esta rede compartilha todos os seus acordos de peering com a IP Volume Inc. - AS202425, uma empresa sediada em Seychelles e criada pelos proprietários da Ecatel, infame por administrar um serviço de hospedagem à prova de balas extensivamente abusivo na Holanda desde 2005", observou Intrinsec.
A totalidade dos prefixos que foram transferidos da AS61432 e do AS210950 agora são anunciados por redes à prova de balas e abusivas, lideradas por empresas de concha como a Global Internet Solutions LLC (Gir.Network), a Global Connectivity Solutions LLP, Verasel, IP Volume Inc. e Telkom Internet LTD.
As descobertas se baseiam em divulgações anteriores sobre como várias redes alocadas em agosto de 2021 e baseadas na Ucrânia e nas Seychelles-AS61432, AS210848 e AS210950-foram usadas para distribuição de spam, ataques de rede e hospedagem de comando e controle de malware. Em junho de 2025, alguns dos prefixos IPv4 anunciados por essas redes foram transferidos para o FDN3, que foi criado em agosto de 2021.
Isso não é tudo. Três dos prefixos anunciados pelo AS210848 e um pela AS61432 foram anunciados anteriormente por outra rede russa, Sibirinvest OOO (AS4446). Dos quatro prefixos IPv4 anunciados pelo FDN3, um deles (88.210.63 [.] 0/24) é avaliado como foi anunciado anteriormente por uma solução de hospedagem à prova de balas dos EUA chamada Virtualine (AS214940 e AS214943).
É essa linha de prefixos IPv4 que foi atribuída a tentativas de força bruta e pulverização de senha em larga escala, com a atividade em um recorde alto entre os 6 e 8 de julho de 2025.
Os esforços de pulverização de força bruta e senha destinados aos ativos SSL VPN e RDP podem durar até três dias, por Intrinsec. Vale a pena notar que essas técnicas foram adotadas por vários grupos de ransomware como serviço (RAAS) como Black Basta, Global Group e Ransomhub como um vetor de acesso inicial a violar redes corporativas.
Os outros dois prefixos que o FDN3 anunciaram em junho, 92.63.197 [.] 0/24 e 185.156.73 [.] 0/24, foram anunciados anteriormente pelo AS210848, indicando um alto grau de sobreposição operacional. 92.63.197 [.] 0/24, por sua parte, tem vínculos com redes de spam búlgaras como Roza-AS (AS212283).
"Todas essas fortes semelhanças, incluindo sua configuração, o conteúdo que eles hospedam e sua data de criação, nos levaram a avaliar com um alto nível de confiança que os sistemas autônomos mencionados anteriormente a serem operados por um administrador de hospedagem à prova de balas comum", explicou o Intrinsec.
Uma análise mais aprofundada do FDN3 descobriu laços com uma empresa russa chamada Alex Host LLC que, no passado, estava ligada a provedores de hospedagem à prova de balas como a TNSecurity, que foram usados para hospedar infraestrutura de doppelganger.
"Esta investigação mais uma vez destaca um fenômeno comum de ISPs offshore, como o IP Volume Inc., permitindo redes menores à prova de balas por meio de acordos de pares e hospedagem de prefixo em geral", disse a empresa. "Graças ao seu local offshore, como Seychelles, que fornece anonimato aos proprietários dessas empresas, as atividades maliciosas perpetradas por essas redes não podem ser diretamente imputadas a elas".
O desenvolvimento ocorre quando a Censys descobriu um sistema de gerenciamento de proxy Connect-Back associado à Botnet Polaredge que está atualmente em mais de 2.400 hosts. O sistema é um servidor RPX que opera como um gateway proxy de conexão reversa capaz de gerenciar nós de proxy e expor os serviços de proxy.
"Esse sistema parece ser um servidor bem projetado que pode ser uma das muitas ferramentas usadas para gerenciar a botnet de polaredge", disse o pesquisador sênior de segurança Mark Ellzey. "Também é possível que esse serviço específico não esteja relacionado ao Polaredge e seja um serviço que o botnet utiliza para pular entre diferentes relés".
Encontrado thi
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #rede #ucraniana #fdn3 #lança #ataques #de #força #bruta #enormes #em #dispositivos #ssl #vpn #e #rdp
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário