Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Злоумышленники используют поддельные домены для фишинговых атак на китайских пользователей

10/01/25

hack192-3

Исследователи Infoblox Threat Intel изучили деятельность загадочной группировки Muddling Meerkat, связанной с вредоносными рассылками (malspam) и операциями с DNS через Великий китайский файрвол.

Исследование началось с анализа DNS-логов и спам-ловушек, где фиксируются подозрительные рассылки. После первой публикации данных о Muddling Meerkat Infoblox получил от сообщества дополнительные сведения, включая отчёты об инцидентах и массовых рассылках с китайских IP-адресов. Часть использованных доменов была зарегистрирована на Infoblox, что дало возможность сопоставить данные и выявить четыре ключевых типа атак, пишет Securtiylab.

Крупнейшая кампания была направлена на пользователей в Китае. Спамеры рассылали письма с вложенными файлами, содержащими QR-коды, ведущие на фишинговые сайты. Схема состояла из двух этапов: сначала жертва открывала вложение, затем использовала WhatsApp для сканирования кода. Такой подход усложнял обнаружение угроз, поскольку переводил взаимодействие в зашифрованный мессенджер, недоступный для стандартных инструментов безопасности. Дополнительно применялись алгоритмы генерации доменов (RDGA), создающие сайты с коротким сроком жизни, чтобы избежать детектирования.

Анализ вредоносных рассылок выявил значительную долю спама, поступающего с источников, чьи доменные имена состояли из трёх букв. Группировка таких данных позволила выявить крупную спам-операцию, направленную на пользователей в Японии. Кампания включала рассылку писем, в которых злоумышленники маскировались под известные бренды, включая Electronic Toll Collection (ETC), Sumitomo Mitsui Banking Corporation (SMBC), Amazon и Mastercard. В содержании писем получателям сообщалось о необходимости пройти повторную аутентификацию из-за возможных проблем с безопасностью. Переход по ссылке направлял жертву на систему распределения трафика (TDS), а затем — на поддельные страницы входа, созданные для кражи учетных данных.

Дополнительно зафиксирована отдельная фишинговая кампания, нацеленная на пользователей криптокошелька MyEtherWallet. Жертвам отправлялись электронные письма с текстами на японском языке, которые выглядели как официальные сообщения от MyEtherWallet. Они призывали пользователей пройти авторизацию в своих аккаунтах. Однако указанные в письмах ссылки вели не на официальный сайт сервиса, а на поддельные веб-страницы, разработанные атакующими для сбора данных.

Использование поддельных доменов, системы TDS и спуфинга указывает на то, что китайские спамеры применяют несколько методов маскировки, позволяя им избегать внимания исследователей угроз и систем кибербезопасности.

Анализ также выявил кампании, использующие классическую тактику шантажа с подменой адресов отправителей. В этом случае жертвы получали письма, якобы отправленные с их собственных email-адресов. В сообщении утверждалось, что хакеры получили доступ к устройству пользователя и записали компрометирующие видео или другую личную информацию. Чтобы избежать «публикации» этих данных, получателю предлагалось перевести сумму в биткойнах на указанный кошелёк. Размер требуемого выкупа варьировался в зависимости от письма.

Несмотря на примитивность метода, он остаётся эффективным. Анализ кошельков, указанных в таких письмах, показал наличие значительных сумм, что подтверждает успешность атаки. Подобные кампании с подменой доменов, вероятно, связаны не с продвинутыми актёрами вроде Muddling Meerkat, а с менее сложными автоматизированными бот-сетями, продолжающими распространение спама.

Исследователи обнаружили ещё одну необычную активную рассылку, в которой использовались поддельные домены и спуфинг адресов отправителей, но при этом не было очевидного вредоносного содержания. Письма приходили якобы от китайской логистической компании и содержали вложенные файлы формата Excel, где указывались обновленные тарифы на грузоперевозки. Анализ показал, что никакого вредоносного кода в этих файлах не содержится.

Интересно, что такие письма не включали призывов к действию. Они лишь регулярно рассылали новые тарифные обновления для грузоперевозок. Это лишает рассылку легитимности, но одновременно делает неясной её конечную цель: неизвестно, зачем логистическая компания или злоумышленники распространяют такие сообщения.

Похожая техника наблюдалась в личных спам-рассылках, где письма содержали сведения о взаимных фондах индийской инвестиционной компании. Эти письма, помеченные Google Mail как подозрительный спам, также содержали Excel-файлы и PDF-документы. В одном из случаев отправитель оказался бывшим знакомым жертвы, что может свидетельствовать о взломе его почтового аккаунта для дальнейшего распространения спама. Однако цели злоумышленников в этом случае остаются неясными.

Первоначальный анализ выявил 20 поддельных доменов, связанных с Muddling Meerkat, но к настоящему моменту их количество увеличилось до нескольких сотен. Однако исследователям не удалось напрямую связать их с данными DNS-логов, что оставляет вопрос о мотивации злоумышленников открытым. Тем не менее исследование дало ценные сведения о методах использования подмены доменов, что позволит лучше защищаться от подобных атак.

Темы:КитайПреступленияотчетInfoblox
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

  • Обзор китайского рынка NGFW
    Азиатско-Тихоокеанский регион, где доминирует Китай, стал вторым по величине рынком NGFW в мире и уже в 2023 г. генерировал свыше 30% мирового спроса. При этом глобальный рынок по-прежнему возглавляют западные вендоры, тогда как из китайских компаний в топ-5 присутствует только Huawei с долей около 3,5%. Совокупная доля китайских производителей на мировом рынке остается скромной и оценивается в 5–10%.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...