СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.10.2025
#ИБ#Инфра#Облака

Фишинг Ignitecore: 100+ доменов, CSS-хэш, риски Cloudflare

Фишинг Ignitecore: 100 доменов, CSS-хэш, риски Cloudflare

7 октября 2025 года сотрудник компании Validin получил очень правдоподобное электронное письмо, содержащее фишинговую схему, что спровоцировало детальное расследование происхождения письма и инфраструктуры, стоящей за ним. На первый взгляд это было типичное мошенничество со счетами (invoice fraud), но сложная структура письма и использованные технические маркеры заставили исследователей обратить внимание на возможную более широкую кампанию.

Ключевые признаки подозрительного письма

  • Отправитель был обозначен как Ignitecore Consulting LLC, при этом адрес выглядел сомнительно и не отображался в Google Maps.
  • Письмо содержало действительные банковские реквизиты, возможно связанные с Bank of America — типичный признак попытки отмыть средства через реальные банковские счета.
  • Формат и содержание сообщения были достаточно сложными и аккуратно оформленными, что повышало вероятность успешного обмана.

Что показало техническое расследование

Аналитики начали с проверки домена отправителя и обнаружили, что возраст домена составлял менее трёх дней — классический индикатор недавно созданной инфраструктуры, вероятно предназначенной для мошенничества.

Дальнейший анализ сосредоточился на уникальном содержательном маркере — CSS hash. Этот маркер позволил обнаружить более 100 связанных доменов, которые разделяли одинаковый контентный элемент. Среди общих черт зарегистрированных доменов исследователи отметили наличие слов-«подсказок» в доменных именах, таких как consult и llc, что указывало на целевую тематику мошеннических писем.

Атрибуты инфраструктуры, изученные исследователями

  • История DNS (DNS history) и регистрационная информация доменов.
  • Повторяющиеся элементы контента, выявленные через CSS hash.
  • HTTP-ответы от серверов: уникальные идентификаторы серверов в ответах помогли сопоставить реальные исходные IP-адреса, обслуживающие фишинговый контент.
  • Вероятно использованные заброшенные или скомпрометированные конфигурации Cloudflare, которые могли позволить злоумышленникам доставлять контент без прямого владения доменом.

Как определяли «источник» фишинга

Исследователи использовали уникальные идентификаторы, найденные в HTTP-ответах, чтобы восстановить связь между видимыми доменами и реальными серверами (origin). Это позволило:

  • выявить исходные IP-адреса, на которых хостился фишинговый контент;
  • отслеживать сеть связанных доменов, использующих общую серверную инфраструктуру;
  • определить закономерности в развертывании доменов и конфигурациях CDN/Proxy.

Выводы и практические рекомендации

Расследование демонстрирует несколько опасных тенденций: злоумышленники всё активнее пользуются быстрым созданием доменов и повторным использованием контентных маркеров (например, CSS hash) для масштабирования фишинговых кампаний; при этом уязвимые или оставленные конфигурации Cloudflare и других прокси-сервисов могут облегчать доставку вредоносного контента без явного владения доменом.

Рекомендации для организаций и команд безопасности:

  • Проверять возраст домена и регистрацию при анализе подозрительных писем — новые домены с высокой долей вероятности следует считать подозрительными.
  • Иметь процесс быстрого сканирования на предмет повторяющихся контентных маркеров (например, CSS hash) для обнаружения связанных доменов.
  • Анализировать HTTP-ответы и уникальные серверные идентификаторы для выявления реальных origin-IP и блокировки серверов доставки контента.
  • Проверять конфигурации Cloudflare и других CDN/Proxy на предмет заброшенных или неправильно сконфигурированных записей, которые могут быть использованы злоумышленниками.
  • Внедрять контроль подлинности отправителей и дополнительную валидацию банковских реквизитов при работе со счетами и платежами.

Заключение

Случай с письмом, адресованным сотруднику Validin, показывает, что фишинговые операторы продолжают совершенствовать свои инструменты и тактики. Доступность быстрого создания доменов, повторное использование контентных маркеров и эксплуатация уязвимых конфигураций CDN делают такие кампании более масштабируемыми и опасными. Проактивный мониторинг доменов, анализ контента и тщательная проверка инфраструктуры — ключевые меры защиты в борьбе с такими угрозами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: