10/01/25
Исследователи Infoblox Threat Intel изучили деятельность загадочной группировки Muddling Meerkat, связанной с вредоносными рассылками (malspam) и операциями с DNS через Великий китайский файрвол.
Исследование началось с анализа DNS-логов и спам-ловушек, где фиксируются подозрительные рассылки. После первой публикации данных о Muddling Meerkat Infoblox получил от сообщества дополнительные сведения, включая отчёты об инцидентах и массовых рассылках с китайских IP-адресов. Часть использованных доменов была зарегистрирована на Infoblox, что дало возможность сопоставить данные и выявить четыре ключевых типа атак, пишет Securtiylab.
Крупнейшая кампания была направлена на пользователей в Китае. Спамеры рассылали письма с вложенными файлами, содержащими QR-коды, ведущие на фишинговые сайты. Схема состояла из двух этапов: сначала жертва открывала вложение, затем использовала WhatsApp для сканирования кода. Такой подход усложнял обнаружение угроз, поскольку переводил взаимодействие в зашифрованный мессенджер, недоступный для стандартных инструментов безопасности. Дополнительно применялись алгоритмы генерации доменов (RDGA), создающие сайты с коротким сроком жизни, чтобы избежать детектирования.
Анализ вредоносных рассылок выявил значительную долю спама, поступающего с источников, чьи доменные имена состояли из трёх букв. Группировка таких данных позволила выявить крупную спам-операцию, направленную на пользователей в Японии. Кампания включала рассылку писем, в которых злоумышленники маскировались под известные бренды, включая Electronic Toll Collection (ETC), Sumitomo Mitsui Banking Corporation (SMBC), Amazon и Mastercard. В содержании писем получателям сообщалось о необходимости пройти повторную аутентификацию из-за возможных проблем с безопасностью. Переход по ссылке направлял жертву на систему распределения трафика (TDS), а затем — на поддельные страницы входа, созданные для кражи учетных данных.
Дополнительно зафиксирована отдельная фишинговая кампания, нацеленная на пользователей криптокошелька MyEtherWallet. Жертвам отправлялись электронные письма с текстами на японском языке, которые выглядели как официальные сообщения от MyEtherWallet. Они призывали пользователей пройти авторизацию в своих аккаунтах. Однако указанные в письмах ссылки вели не на официальный сайт сервиса, а на поддельные веб-страницы, разработанные атакующими для сбора данных.
Использование поддельных доменов, системы TDS и спуфинга указывает на то, что китайские спамеры применяют несколько методов маскировки, позволяя им избегать внимания исследователей угроз и систем кибербезопасности.
Анализ также выявил кампании, использующие классическую тактику шантажа с подменой адресов отправителей. В этом случае жертвы получали письма, якобы отправленные с их собственных email-адресов. В сообщении утверждалось, что хакеры получили доступ к устройству пользователя и записали компрометирующие видео или другую личную информацию. Чтобы избежать «публикации» этих данных, получателю предлагалось перевести сумму в биткойнах на указанный кошелёк. Размер требуемого выкупа варьировался в зависимости от письма.
Несмотря на примитивность метода, он остаётся эффективным. Анализ кошельков, указанных в таких письмах, показал наличие значительных сумм, что подтверждает успешность атаки. Подобные кампании с подменой доменов, вероятно, связаны не с продвинутыми актёрами вроде Muddling Meerkat, а с менее сложными автоматизированными бот-сетями, продолжающими распространение спама.
Исследователи обнаружили ещё одну необычную активную рассылку, в которой использовались поддельные домены и спуфинг адресов отправителей, но при этом не было очевидного вредоносного содержания. Письма приходили якобы от китайской логистической компании и содержали вложенные файлы формата Excel, где указывались обновленные тарифы на грузоперевозки. Анализ показал, что никакого вредоносного кода в этих файлах не содержится.
Интересно, что такие письма не включали призывов к действию. Они лишь регулярно рассылали новые тарифные обновления для грузоперевозок. Это лишает рассылку легитимности, но одновременно делает неясной её конечную цель: неизвестно, зачем логистическая компания или злоумышленники распространяют такие сообщения.
Похожая техника наблюдалась в личных спам-рассылках, где письма содержали сведения о взаимных фондах индийской инвестиционной компании. Эти письма, помеченные Google Mail как подозрительный спам, также содержали Excel-файлы и PDF-документы. В одном из случаев отправитель оказался бывшим знакомым жертвы, что может свидетельствовать о взломе его почтового аккаунта для дальнейшего распространения спама. Однако цели злоумышленников в этом случае остаются неясными.
Первоначальный анализ выявил 20 поддельных доменов, связанных с Muddling Meerkat, но к настоящему моменту их количество увеличилось до нескольких сотен. Однако исследователям не удалось напрямую связать их с данными DNS-логов, что оставляет вопрос о мотивации злоумышленников открытым. Тем не менее исследование дало ценные сведения о методах использования подмены доменов, что позволит лучше защищаться от подобных атак.
