Події 0
Ua
En
Події 0
Результат пошуку:
Фішингова кампанія UNC1151: аналіз інфраструктури від Censys- image 1

Фішингова кампанія UNC1151: аналіз інфраструктури від Censys

Фішинговий лист до білоруського політика Юрія Губаревича з повідомленням про нібито підозрілу активність у Gmail виявився лише верхівкою масштабної кібероперації. Дослідник з компанії Censys Мартін Грутен з’ясував, що за цією атакою стоїть інфраструктура угруповання UNC1151 (також відомого як Ghostwriter або FrostyNeighbor). Використовуючи метод логічного переходу за цифровими сертифікатами, аналітики змогли деанонімізувати сервери кіберзловмисників, які викрадали облікові дані користувачів з Білорусі та України.

Фішингова кампанія UNC1151: аналіз інфраструктури від Censys - зображення 1
МЕХАНІКА АТАКИ

Обхід автентифікації та приховування ip-адрес

У межах цієї кампанії кіберзловмисники спрямовували жертв на скомпрометовані вебсайти, а потім — на підроблену сторінку входу Google. Головною технічною особливістю атаки стало використання протоколу WebSocket для перехоплення введених даних у режимі реального часу. Це дозволяло операторам автоматично обходити багатофакторну автентифікацію (MFA), засновану на SMS або одноразових паролях (OTP). Для маскування своєї активності угруповання використовувало легітимні мережі доставки контенту, зокрема Bunny CDN та Cloudflare, намагаючись приховати справжні IP-адреси серверів управління.

КІБЕРРОЗВІДКА CENSYS

Деанонімізація через цифрові сертифікати

Незважаючи на спроби маскування за допомогою CDN, кіберзловмисники припустилися критичної помилки на рівні інфраструктури. Фахівці Censys виявили, що цифровий сертифікат для підставного фішингового домену певний час знаходився на прямій IP-адресі 45.194.44.44. Ця адреса фізично розташована у Польщі та належить провайдеру Datagear. Таке викриття спрацювало як зняття маски: ідентифікувавши справжню IP-адресу, дослідники змогли знайти інші цифрові сертифікати, які використовувалися в межах цієї операції. Зокрема, на знайденому вузлі генерувалися сертифікати для додаткових фішингових ресурсів, що підтвердило системний характер дій угруповання.

ТЕХНІЧНІ ІНДИКАТОРИ

Унікальні помилки серверів та виявлення прихованих вузлів

Детальне дослідження розкритої IP-адреси виявило відкриті порти 3001 та 3002 зі специфічними налаштуваннями. HTTP-запит до порту 3002 повертав помилку 404 з унікальним текстовим повідомленням, яке вказувало на функціонування виключно для WebSocket. Цей структурний індикатор виявився надзвичайно рідкісним показником у глобальній мережі. Пошук у базах даних Censys за хешем тіла цієї відповіді виявив ще три IP-адреси у всьому світі, які належали до тієї ж кампанії. Кожен із цих серверів використовувався для розміщення цифрових сертифікатів з аналогічними патернами імен, утворюючи централізовану мережу для збору даних.

МАСШТАБИ ОПЕРАЦІЇ

Імітація українських національних вебпорталів

Дослідження виявленої інфраструктури підтвердило цілеспрямований характер атак проти конкретних регіонів. Окрім первинної атаки на поштові сервіси, угруповання масово генерувало сертифікати для створення підроблених копій популярних українських вебпорталів. На одному з виявлених серверів аналітики зафіксували цифрові сертифікати, які імітували поштові сервіси I.UA та bigmir)net. За допомогою цілеспрямованих запитів до інфраструктури також була ідентифікована активна фішингова сторінка, що копіювала портал META.UA. Сукупність цих даних вказує на те, що угруповання UNC1151 серійно виробляє підроблені інструменти для компрометації легітимних європейських сервісів.

Аналіз фішингового інциденту доводить, що сучасні кіберзловмисники використовують складні архітектури для масштабування своїх атак та обходу багатофакторної автентифікації. Перехід від реактивного блокування до проактивної розвідки створює умови для швидкого виявлення замаскованих інфраструктурних масивів. Компанія iIT Distribution як Value Added Distributor надає експертну підтримку в розгортанні передових рішень з інформаційної безпеки, включаючи інструменти threat intelligence та управління поверхнею атаки. Команда iITD супроводжує проєкти на кожному етапі, допомагаючи партнерам захистити критичні облікові дані та зменшити ризики інтелектуальних кібератак.

НОВИНИ

Актуальні новини на вашу тему

Усі новини
Усі новини