События 0
Ru
Ua En
События 0
Результат поиска:
Фишинговая кампания UNC1151: анализ инфраструктуры от Censys- image 1

Фишинговая кампания UNC1151: анализ инфраструктуры от Censys

Фишинговое письмо белорусскому политику Юрию Губаревичу с сообщением о якобы подозрительной активности в Gmail оказалось лишь вершиной масштабной кибероперации. Исследователь из компании Censys Мартин Грутен выяснил, что за этой атакой стоит инфраструктура группы UNC1151 (также известной как Ghostwriter или FrostyNeighbor). Используя метод логического перехода по цифровым сертификатам, аналитики смогли деанонимизировать серверы киберпреступников, которые похищали учетные данные пользователей из Беларуси и Украины.

Фишинговая кампания UNC1151: анализ инфраструктуры от Censys - изображение 1
МЕХАНИКА АТАКИ

Обход аутентификации и скрытие ip-адресов

В рамках этой кампании киберпреступники направляли жертв на скомпрометированные вебсайты, а затем — на поддельную страницу входа Google. Главной технической особенностью атаки стало использование протокола WebSocket для перехвата введенных данных в режиме реального времени. Это позволяло операторам автоматически обходить многофакторную аутентификацию (MFA), основанную на SMS или одноразовых паролях (OTP). Для маскировки своей активности группа использовала легитимные сети доставки контента, включая Bunny CDN и Cloudflare, пытаясь скрыть настоящие IP-адреса серверов управления.

КИБЕРРАЗВЕДКА CENSYS

Деанонимизация через цифровые сертификаты

Несмотря на попытки маскировки с помощью CDN, киберпреступники допустили критическую ошибку на уровне инфраструктуры. Специалисты Censys обнаружили, что цифровой сертификат для подставного фишингового домена определенное время находился на прямом IP-адресе 45.194.44.44. Этот адрес физически расположен в Польше и принадлежит провайдеру Datagear. Такое разоблачение сработало как снятие маски: идентифицировав истинный IP-адрес, исследователи смогли найти другие цифровые сертификаты, которые использовались в рамках этой операции. В частности, на найденном узле генерировались сертификаты для дополнительных фишинговых ресурсов, что подтвердило системный характер действий группы.

ТЕХНИЧЕСКИЕ ИНДИКАТОРЫ

Уникальные ошибки серверов и обнаружение скрытых узлов

Детальное исследование раскрытого IP-адреса выявило открытые порты 3001 и 3002 со специфическими настройками. HTTP-запрос к порту 3002 возвращал ошибку 404 с уникальным текстовым сообщением, которое указывало на функционирование исключительно для WebSocket. Этот структурный индикатор оказался чрезвычайно редким показателем в глобальной сети. Поиск в базах данных Censys по хешу тела этого ответа выявил еще три IP-адреса по всему миру, принадлежавшие к той же кампании. Каждый из этих серверов использовался для размещения цифровых сертификатов с аналогичными паттернами имен, образуя централизованную сеть для сбора данных.

МАСШТАБЫ ОПЕРАЦИИ

Имитирование украинских национальных вебпорталов

Исследование выявленной инфраструктуры подтвердило целенаправленный характер атак против конкретных регионов. Помимо первичной атаки на почтовые сервисы, группа массово генерировала сертификаты для создания поддельных копий популярных украинских вебпорталов. На одном из обнаруженных серверов аналитики зафиксировали цифровые сертификаты, которые имитировали почтовые сервисы I.UA и bigmir)net. С помощью целенаправленных запросов к инфраструктуре также была идентифицирована активная фишинговая страница, копировавшая портал META.UA. Совокупность этих данных указывает на то, что группа UNC1151 серийно производит подделанные инструменты для компрометации легитимных европейских сервисов.

Анализ фишингового инцидента доказывает, что современные киберпреступники используют сложные архитектуры для масштабирования своих атак и обхода многофакторной аутентификации. Переход от реактивного блокирования к проактивной разведке создает условия для быстрого обнаружения замаскированных инфраструктурных массивов. Компания iIT Distribution как Value Added Distributor предоставляет экспертную поддержку в развертывании передовых решений по информационной безопасности, включая инструменты threat intelligence и управления поверхностью атаки. Команда iITD сопровождает проекты на каждом этапе, помогая партнерам защитить критические учетные данные и снизить риски интеллектуальных кибератак.

НОВОСТИ

Текущие новости по вашей теме

Все новости
Все новости