黑客滥用俄罗斯防弹主机 Proton66 进行全球攻击和恶意软件传播

网络安全研究人员披露，“大规模扫描、凭证暴力破解和利用尝试”激增，这些 IP 地址源自与名为 Proton66 的俄罗斯防弹托管服务提供商相关的 IP 地址。

根据 Trustwave SpiderLabs 上周发布的两部分分析，该活动自 2025 年 1 月 8 日以来检测到，针对全球组织。

“网络块 45.135.232.0/24 和 45.140.17.0/24 在大规模扫描和暴力尝试方面特别活跃，”安全研究人员 Pawel Knapczyk 和 Dawid Nesterowicz 说。“几个违规的 IP 地址以前从未被发现参与恶意活动或两年多来处于非活动状态。”

据评估，俄罗斯自动驾驶系统 Proton66 与另一个名为 PROSPERO 的自动驾驶系统相关联。去年，法国安全公司 Intrinsec 详细介绍了他们与俄罗斯网络犯罪论坛上以 Securehost 和 BEARHOST 为名销售的防弹服务的联系。

包括 GootLoader 和 SpyNote 在内的几个恶意软件家族已在 Proton66 上托管了他们的命令和控制（C2）服务器和网络钓鱼页面。今年 2 月初，安全记者 Brian Krebs 透露，Prospero 已开始通过俄罗斯反病毒供应商卡巴斯基实验室在莫斯科运营的网络路由其作。

然而，卡巴斯基否认它与 Prospero 合作，并且“默认情况下，通过卡巴斯基运营的网络进行路由并不意味着提供公司的服务，因为卡巴斯基的自动系统（AS）路径可能在与该公司合作并提供其 DDoS 服务的电信提供商网络中显示为技术前缀。

Trustwave 的最新分析显示，源自 Proton66 网络块之一（193.143.1[.]65）在 2025 年 2 月试图利用一些最新的关键漏洞 -

值得注意的是，对两个 Fortinet FortiOS 漏洞的利用归因于一个名为 Mora_001 的初始访问代理，据观察，该代理提供了一种名为 SuperBlack 的新勒索软件菌株。

这家网络安全公司表示，它还观察到了几个与 Proton66 相关的恶意软件活动，这些活动旨在分发恶意软件系列，如 XWorm、StrelaStealer 和名为 WeaXor 的勒索软件。

另一个值得注意的活动涉及使用与 Proton66 链接的 IP 地址“91.212.166[.] 相关的受感染 WordPress 网站。21“ 将 Android 设备用户重定向到模仿 Google Play 应用列表并诱骗用户下载恶意 APK 文件的网络钓鱼页面。

重定向是通过托管在 Proton66 IP 地址上的恶意 JavaScript 来实现的。对虚假 Play 商店域名的分析表明，该活动旨在针对讲法语、西班牙语和希腊语的用户。

“重定向器脚本经过混淆处理，并对受害者执行多项检查，例如排除爬虫和 VPN 或代理用户，”研究人员解释说。“用户 IP 是通过对 ipify.org 的查询获得的，然后通过对 ipinfo.io 的后续查询来验证代理上是否存在 VPN。最终，只有在找到 Android 浏览器时才会发生重定向。

Proton66 IP 地址之一中还托管着一个 ZIP 存档，该存档导致部署 XWorm 恶意软件，特别是使用社会工程方案挑出讲韩语的聊天室用户。

攻击的第一阶段是 Windows 快捷方式（LNK），它执行 PowerShell 命令，然后运行 Visual Basic 脚本，该脚本反过来从同一 IP 地址下载 Base64 编码的 .NET DLL。DLL 继续下载并加载 XWorm 二进制文件。

与 Proton66 相关的基础设施还被用于促进针对德语用户的网络钓鱼电子邮件活动，其中包含 StrelaStealer，这是一种与 IP 地址（193.143.1[.]205）的 C2。

最后但并非最不重要的一点是，WeaXor 勒索软件工件——Mallox 的修订版本——被发现与 Proton66 网络中的 C2 服务器（“193.143.1[.]139").

建议组织阻止与 Proton66 和 Chang Way Technologies（一家可能相关的香港提供商）相关的所有无类别域间路由（CIDR）范围，以消除潜在威胁。

信息来源：https://thehackernews.com/2025/04/hackers-abuse-russian-bulletproof-host.html