За два года активности киберкампании EITest ее организаторы не единожды меняли механизмы распространения вредоносного программного обеспечения. Исследователи ISC SANS провели анализ майских кибератак и обратили внимание на то, что сейчас для распространения вредоносных программ вместо набора эксплоитов Angler используется Neutrino.
В июле 2014 года специалистами Malwarebytes впервые были выявлены кибернападения в рамках кампании EITest. Хакеры применяют тысячи скомпрометированных ресурсов, на которые внедряется скрипт на базе Flash, распространяющий различные вредоносные программы, включая многофункциональный бэкдор Gootkit. Чтобы не попасть в черные списки, злоумышленники пользуются бесплатными DNS-сервисами для регистрации поддоменов, создавая с их помощью «одноразовые» URL.
Как утверждает эксперт ISC SANS Брэд Данкан, сейчас шлюзы Neutrino находятся в блоке 85.93.0.0/24. По словам исследователя, наиболее часто в качестве домена первого уровня эти шлюзы применяют .tk, но на этой неделе экспертами было зафиксировано использование доменов .co.uk.
Используя один из взломанных сайтов, Данкан смог выявить два механизма заражения, в рамках которых применялся Adobe Flash Player 20.0.0.306. В данной версии присутствует уязвимость, используемая злоумышленниками и позволяющая вызывать отказ в работе или дистанционно выполнять код.
Кроме того, вредоносную активность в рамках киберкампании EITest отслеживают и эксперты Palo Alto Networks. В марте специалисты обратили внимание на то, что шлюз в некоторых случаях изменяет IP-адрес, но при этом домены высшего уровня (.com, .tk, .uk) остаются прежними.