Анализ скоординированной фишинговой кампании в Кувейте 2025

Координированная фишинговая кампания в Кувейте атакует ключевые сектора экономики

С начала 2025 года исследователи компании Hunt фиксируют масштабную фишинговую кампанию, нацеленную на несколько стратегически важных отраслей Кувейта — рыболовство, телекоммуникации и страхование. Хакеры используют сложную инфраструктуру и продвинутые методы имитации, чтобы обмануть пользователей и получить доступ к конфиденциальной информации.

Целевые сервера и используемые домены

Фишинговые операции сосредоточены на трех основных серверах в сети Aeza International Ltd, расположенных по IP-адресам:

• 78.153.136.29
• 134.124.92.70
• 138.124.78.35

На этих серверах размещено свыше 230 доменов, большая часть из которых ориентирована на Национальную рыболовецкую компанию Кувейта.

Интересной особенностью кампании является использование стратегии имитации бренда. Вместо типографических ошибок в доменных именах злоумышленники применяют транслитерацию и общие ссылки, что позволяет создавать фишинговые сайты, практически полностью повторяющие дизайн и функционал легитимных ресурсов.

Методы атаки и особенности фишинговых ресурсов

Фишинговые сайты воспроизводят ключевые функции настоящих порталов, включая:

• Процедуры покупки морепродуктов, характерные для сферы рыболовства;
• Поддельные порталы для сравнения автострахования;
• Фишинговые страницы, замаскированные под сервисы мобильных платежей в телекоммуникационном секторе.

Например, домен tamcar.pro пользовался перенаправлением на страницы с предложениями услуг в сфере автострахования, что свидетельствует о широте охвата целевых отраслей.

Кроме того, злоумышленники выдавали себя за Zain — одного из крупнейших телекоммуникационных провайдеров Кувейта — используя домены, стилизованные под мобильные платежные порталы и запрашивая у пользователей конфиденциальную информацию, включая номера телефонов.

Техническая архитектура и масштабы деятельности

Операторы кампании применяют мультитенантную архитектуру, позволяющую размещать множество фишинговых ресурсов на отдельных серверах, что повышает гибкость и эффективность работы.

Хотя на данный момент вредоносного ПО или кода для автоматического сбора учетных данных не обнаружено, постоянные регистрации новых доменов свидетельствуют о долгосрочной стратегии обмана пользователей и эксплуатации доверия к местным компаниям.

Примечательно, что большинство ресурсов развёрнуто на базе недорогого VPS, предоставляемого Aeza International Ltd, что даёт атакующим лёгкий доступ к инфраструктуре с минимальными финансовыми затратами.

Особенности именования доменов и мастерство хакеров

Фишинговые домены демонстрируют последовательные шаблоны именования, основанные на названиях известных брендов, что отличает их от обычных доменов с орфографическими ошибками. Данная практика указывает на высокий уровень навыков и глубокое понимание поведения пользователей и особенностей их взаимодействия с интернет-ресурсами.

Рекомендации по защитным мерам

Для минимизации рисков, связанных с данной фишинговой кампанией, эксперты рекомендуют внедрять комплекс мер, включая:

• Постоянный мониторинг признаков компрометации;
• Отслеживание повторных артефактов аутентификации и повторное использование SSH-ключей;
• Выявление появления новых страниц, имитирующих платёжные сервисы, ориентированные на региональные бренды.

Упреждающее выявление и блокировка подобных тактик фишинга имеют решающее значение для защиты как частных, так и корпоративных пользователей в Кувейте и регионе Персидского залива в целом.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.