Зашел посмотреть кино – проиграл деньги букмекеру. Нас всех превращают в трафик для сомнительных сайтов
NewsMakerХакеров из Funnull заподозрили в создании глобальной сети для заражения видеосервисов.
Когда сайт с фильмами внезапно начинает отправлять посетителей на букмекерские и порносайты, владелец обычно винит шаблон или рекламную сеть. В случае с RingH23 всё куда серьёзнее. Речь идёт о масштабной операции, за которой, по техническим признакам, стоит печально известная группировка Funnull .
Funnull Technology Inc., зарегистрированная на Филиппинах, давно фигурирует как поставщик инфраструктуры для мошеннических схем в Юго-Восточной Азии. В мае 2025 года Управление по контролю за иностранными активами Министерства финансов США внесло компанию в санкционный список за поддержку интернет-афер, включая «инвестиционные» схемы с ущербом более 200 млн долларов. После санкций публичная активность Funnull почти сошла на нет. Новые данные показывают, что команда не исчезла, а перезапустилась под новым прикрытием.
В июле специалисты XLab заметили подозрительный исполняемый файл для Linux, который распространялся через домен download.zhw.sh. Анализ показал, что файл служит загрузчиком и тянет с сервера целый набор компонентов: вредоносный модуль для Nginx, пользовательский руткит, правила udev для закрепления в системе и бэкдор. Так постепенно сложилась картина полноценного серверного набора инструментов, получившего имя RingH23.
Атака начинается с компрометации управляющего узла GoEdge. После взлома злоумышленники через SSH заходят на пограничные серверы и принудительно устанавливают загрузчик. Дальше на машине появляются несколько модулей с чётким разделением ролей. Бэкдор, названный Badredis2s, поддерживает связь с центром управления через защищённый веб-сокет, а при блокировке переключается на туннелирование через DNS . Конфигурацию шифруют по схеме XOR и Base64, сетевой трафик дополнительно сжимают и шифруют по алгоритму AES.
Когда сайт с фильмами внезапно начинает отправлять посетителей на букмекерские и порносайты, владелец обычно винит шаблон или рекламную сеть. В случае с RingH23 всё куда серьёзнее. Речь идёт о масштабной операции, за которой, по техническим признакам, стоит печально известная группировка Funnull .
Funnull Technology Inc., зарегистрированная на Филиппинах, давно фигурирует как поставщик инфраструктуры для мошеннических схем в Юго-Восточной Азии. В мае 2025 года Управление по контролю за иностранными активами Министерства финансов США внесло компанию в санкционный список за поддержку интернет-афер, включая «инвестиционные» схемы с ущербом более 200 млн долларов. После санкций публичная активность Funnull почти сошла на нет. Новые данные показывают, что команда не исчезла, а перезапустилась под новым прикрытием.
В июле специалисты XLab заметили подозрительный исполняемый файл для Linux, который распространялся через домен download.zhw.sh. Анализ показал, что файл служит загрузчиком и тянет с сервера целый набор компонентов: вредоносный модуль для Nginx, пользовательский руткит, правила udev для закрепления в системе и бэкдор. Так постепенно сложилась картина полноценного серверного набора инструментов, получившего имя RingH23.
Атака начинается с компрометации управляющего узла GoEdge. После взлома злоумышленники через SSH заходят на пограничные серверы и принудительно устанавливают загрузчик. Дальше на машине появляются несколько модулей с чётким разделением ролей. Бэкдор, названный Badredis2s, поддерживает связь с центром управления через защищённый веб-сокет, а при блокировке переключается на туннелирование через DNS . Конфигурацию шифруют по схеме XOR и Base64, сетевой трафик дополнительно сжимают и шифруют по алгоритму AES.