KZ
Ru
Іс-шаралар 0
Іздеу нәтижесі:
UNC1151 фишинг науқаны: Censys инфрақұрылым талдауы- сурет 1

UNC1151 фишинг науқаны: Censys инфрақұрылым талдауы

Беларусиялық саясаткер Юрий Губаревичке Gmail-да күдікті әрекет туралы фишингтік хат — тек қана ауқымды кибероперацияның көрінісі болды. Censys компаниясының зерттеушісі Мартин Грутен бұл шабуыл артында UNC1151 (сонымен қатар Ghostwriter немесе FrostyNeighbor ретінде танымал) тобының инфрақұрылымы тұрғанын анықтады. Сандық сертификаттар бойынша логикалық өтуді пайдаланып, аналитиктер Беларусь пен Украинадағы пайдаланушылардың есептік деректерін ұрлайтын киберқылмыскерлердің серверлерін деанонимдей алды.

UNC1151 фишинг науқаны: Censys инфрақұрылым талдауы - сурет 1
ШАБУЫЛ МЕХАНИКАСЫ

Аутентификацияны айналып өту және ip-мекенжайларды жасыру

Бұл науқан шеңберінде киберқылмыскерлер жәбірленушілерді бұзылған вебсайттарға, содан кейін жалған Google кіріс бетіне бағыттады. Шабуылдың негізгі техникалық ерекшелігі — нақты уақыт режимінде енгізілген деректерді ұстап алу үшін WebSocket протоколын пайдалану болды. Бұл операторларға SMS немесе бір реттік парольдерге (OTP) негізделген көп факторлы аутентификацияны (MFA) автоматты түрде айналып өтуге мүмкіндік берді. Өздерінің белсенділігін жасыру үшін топ заңды контент жеткізу желілерін, мысалы, Bunny CDN және Cloudflare, өз серверлерінің нақты IP-мекенжайларын жасырмақ болды.

CENSYS КИБЕРБАРЛАУЫ

Сандық сертификаттар арқылы деанонимизация

CDN арқылы бүркемеленуге әрекет жасалғанына қарамастан, киберқылмыскерлер инфрақұрылым деңгейінде критикалық қате жіберді. Censys мамандары, жалған фишингтік домен үшін сандық сертификат белгілі бір уақыт бойы 45.194.44.44 тікелей IP-мекенжайда орналасқанын анықтады. Бұл мекенжай физикалық тұрғыда Польшада орналасып, Datagear провайдеріне тиесілі. Бұл әшкерлеу масканы шешуге ұқсады: нағыз IP-мекенжайды анықтау арқылы зерттеушілер осы операция шеңберінде қолданылған басқа сандық сертификаттарды таба алды. Атап айтқанда, табылған түйінде қосымша фишингтік ресурстарға арналған сертификаттар жасалған, бұл топтың іс-әрекеттерінің жүйелі сипатын растады.

ТЕХНИКАЛЫҚ ИНДИКАТОРЛАР

Серверлердің ерекше қателері және жасырылған түйіндерді анықтау

Ашылған IP-мекенжайдың егжей-тегжейлі зерттеулері 3001 және 3002 ашық порттарын ерекше параметрлермен анықтады. 3002 портына HTTP-сұрау WebSocket жұмыс істеуге арналған ерекше мәтіндік хабарламасымен 404 қатесіне қайтарылды. Бұл құрылымдық индикатор ғаламдық желіде сирек кездесетін көрсеткіш болып шықты. Censys мәліметтер базасында осы жауап денесінің хэші арқылы іздеу осы науқанға тиесілі үш басқа IP-мекенжайды тапты. Осы серверлердің әрқайсысы мәліметтер жинауға арналған орталықтандырылған желіні құру үшін ұқсас атау үлгілерімен сандық сертификаттарды орналастыруға пайдаланылды.

ОПЕРАЦИЯ МАСШТАБТАРЫ

Украиналық ұлттық веб-порталдардың имитациясы

Анықталған инфрақұрылымды зерттеу шабуылдардың нақты аймақтарға бағытталған сипатын растады. Бастапқы пошта қызметтеріне шабуылдан басқа, топ украиналық танымал веб-порталдардың жалған көшірмелерін құру үшін сертификаттарды жаппай жасады. Табылған серверлердің бірінде аналитиктер I.UA және bigmir)net пошта қызметтерін имитациялайтын сандық сертификаттарды тіркеді. Инфрақұрылымға арнайы сұраулар арқылы META.UA порталын көшіретін белсенді фишингілік бет анықталды. Бұл деректер топтасы жергілікті еуропалық қызметтерді бұзу үшін UNC1151 топырақтандырылған құралдарды сериялық жасауға бағытталғанын көрсетеді.

Фишингілік инциденттің талдауы заманауи киберқылмыскерлердің шабуылдарын кеңейту және көп факторлы аутентификацияны айналып өту үшін күрделі архитектураларды пайдаланатынын дәлелдейді. Реактивті блоктаудан проактивті барлау ауысуы жасырылған инфрақұрылымдық массивтерді жедел анықтауға жағдай жасайды. iIT Distribution компаниясы Қосымша Қосылған Дистрибьютор ретінде ақпараттық қауіпсіздік шешімдерін, соның ішінде threat intelligence және шабуыл беті басқару құралдарын развертілуді сараптамалық қолдау көрсетеді. iITD командасы жобаларды барлық кезеңдерде ілесіп жүріп, серіктестерге сыни есептік деректерді қорғауға және интеллектуалдық кибершабуылдар тәуекелдерін азайтуға көмектеседі.

Жаңалықтар

Тақырыбыңыз бойынша ағымдағы жаңалықтар

Барлық жаңалықтар
Барлық жаңалықтар