23/09/21
Специалисты британской ИБ-компании Cyjax рассказали о масштабной фишинговой кампании против сотрудников государственных органов России и соседних государств. Целью кампании был сбор принадлежащих чиновникам учетных данных авторизации в электронной почте, для чего были созданы фишинговые страницы, имитирующие страницы входа в электронную почту.
Вредоносная операция началась весной 2020 года, именно тогда злоумышленники перенесли поддельные домены на их текущие хосты. На момент ее обнаружения 15 фишинговых страниц были все еще активны и использовались для сбора данных служащих правительств Беларуси, Грузии, Туркменистана, Киргизии, Узбекистана, Украины и других стран. Несколько страниц представляли собой поддельные страницы авторизации в сервисе Mail.ru.
Фишинговые домены начинались со слова mail, а в качестве имени хоста всегда использовался настоящий домен атакуемой правительственной организации. В данной кампании были зарегистрированы только пять доменов, либо через Tucows, либо через PublicDomainRegistry. Для хостинга использовались компании OVH SAS и VDSINA.
По словам исследователей, злоумышленники собирали учетные данные для авторизации в электронной почте в рамках более обширной операции по сбору разведданных. Доступ к министерствам, в частности к МИДам, является ключевым в большинстве хакерских кампаний, проводимых в интересах иностранных государств. Судя по количеству фишинговых страниц, главными мишенями в данной кампании являлись Беларусь, Украина и Узбекистан.
В списке атакованных организаций числятся Российская академия наук (РАН), министерства экономики, энергетики, финансов, иностранных дел, информации Республики Беларусь; министерства иностранных дел, обороны и здравоохранения, электронный суд, Национальная школа судей Украины и пр.
По словам исследователей, все указывает на то, что за кампанией стоит финансируемая иностранным государством APT-группа. Операция также может быть делом рук киберпреступников, брокеров, продающих доступ к скомпрометированным сетям на черном рынке, но в Cyjax склоняются в пользу первой версии.
В ходе анализа одного из IP-адресов OVH (145.239.23.7), который использовался для хостинга нескольких фишинговых доменов, исследователи выявили потенциальную связь с APT-кампанией против Украины во время пандемии COVID-19. Как оказалось, ранее раскрытое вредоносное имя хоста (cloud-seuirty[.]ggpht[.]ml) было создано в то же время и с использованием того же шаблона фишинговой страницы.
