04/09/25
Согласно исследованию Deep Specter Research, злоумышленники массово скупали забытые и просроченные домены, наполняли их копиями сайтов крупных компаний и прятали вредоносную нагрузку за «чистыми» страницами для поисковых роботов. Авторы настаивают, что платформы получали сигналы об активности, но мер не приняли, что создаёт риск трактовки как «осознанного игнорирования» и оборачивается для вовлечённых компаний регуляторными последствиями по GDPR, DMCA и линии FTC. Об этом пишет Securitylab.
В числе целей названа Lockheed Martin. По данным отчёта, домен militaryfighterjet.com потерял владельца в сентябре 2024-го и уже 16 сентября начал отдавать страницу «168 Lottery Results» при прямом заходе с десктопа, тогда как с мобильных устройств выдавалась копия сайта Lockheed Martin с разделами для сотрудников и партнёров. Такое расслаивание выдачи подменяют страницу для ботов и реальных пользователей. В исходниках исследователи увидели следы HTTrack с меткой Mon, 16 Sep 2024 19:45:00 GMT; отвечающий IP обслуживал сотни доменов и принадлежит Google Cloud. О выявленном уведомлялись и вендор, и правообладатель.
Докладчики исследовали всю платформу и насчитали 86 физических адресов в Google Cloud (регионы Гонконг и Тайвань), вокруг которых развернуто порядка 44 000 виртуальных IP на GCP и ещё около 4 тысяч — у сторонних хостеров; 8 узлов выступают верхним уровнем управления, 78 — рабочие кластеры. Подмена затрагивает не менее 200 организаций из разных отраслей — от оборонки и здравоохранения до нишевых форумов; набор доменов подбирается под тематику жертвы, из-за чего, например, militaryfighterjet.com оказался «прикручен» к lockheedmartin.com. Часть клонов продолжает подтягивать ресурсы с облаков законного владельца (шрифты, логотипы, аналитика), что создаёт парадокс: бренд непреднамеренно обслуживает злоумышленника и может обнаружить клон по заголовкам запросов к внешним объектам.
Наблюдаемая активность тянется минимум с 2021 года и проходила всплесками: рекордный квартал фишинга пришёлся на конец 2022-го; в мае 2023-го, на фоне кампаний вокруг MOVEit, фиксировался кратный рост видимых узлов; в марте 2025-го — новый пик на фоне других инцидентов в экосистеме. Исследование связывает подобные проекты с трафиком из Google, Meta* и Android-приложений и указывает на корреляции с вредоносными кампаниями. Крупнейший «пул» клонов одной организации, по оценке авторов, достигает почти 6 000 виртуальных хостов. Несмотря на масштаб, порядка тысячи из 48 000 узлов используют HTTPS. Для части наблюдались TLS-отпечатки, совпадающие с профилями серверов управления семейства Sliver.
Суммарно Deep Specter Research говорит более чем о 48 тысячах хостов и свыше 80 кластеров, о десятках тысяч наблюдений за 2021–2025 годы и о сотнях публичных следов, на которые, по их словам, не последовало реакции.
