СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
11 марта
#ИБ

Фишинговая кампания в Канаде: RouterHosting (Cloudzy) и мошеннические домены .ca

Исследование выявило масштабную и продолжающуюся фишинговую кампанию, направленную на жителей Канады. Злоумышленники используют fraudulent domains, имитирующие авторитетные организации — в том числе Правительство Британской Колумбии и Hydro-Québec — с целью сбора чувствительной личной информации и данных кредитных карт.

Ключевые факты

  • Атакующие создают сайты-клоны и поддельные домены, ориентированные на канадскую аудиторию.
  • За злонамеренной инфраструктурой стоит хост RouterHosting LLC, также известный как Cloudzy, который в прошлом связывали с группами, поддерживаемыми государством Иран.
  • По результатам анализа примерно 58% канадских доменов (.ca), хостящихся в сети RouterHosting, содержат подозрительный язык, связанный с банками и поставщиками услуг.
  • Мошенники обходят требования Канадской ассоциации интернет-регистраторов (CIRA), предъявляющие к регистратору проверяемую связь с Канадой, и продолжают работу незамеченными.
  • Фишинговые формы принимают сфабрикованные личные данные (нереалистичные годы рождения, случайно сгенерированные контакты), которые успешно проходят базовую проверку.
  • Тактики включают ложные уведомления о возвратах за переплаты, чтобы вынудить жертву передать PII и данные карт.

«Мошенническая природа этих доменов позволяет им использовать требования CIRA, которые обязывают регистраторов иметь проверяемую связь с Канадой»

RouterHosting LLC / Cloudzy: связи и риски

RouterHosting LLC ранее идентифицировали как поставщика услуг для как минимум 17 групп хакеров, связанных со странами, включая Иран, Северную Корею и Россию. Такая ассоциация повышает опасения относительно возможного использования инфраструктуры для масштабных или целенаправленных кибератак.

Ликвидация RouterHosting как юридического лица в США и последующая перерегистрация под брендом Cloudzy в Дубае усложнила надзор и породила вопросы о соблюдении регуляторных требований, в том числе у ARIN. Продолжающееся присутствие и операционная деятельность Cloudzy находятся под вниманием — при подтверждении фактов это может свидетельствовать о содействии, подпадающем под санкционные ограничения США.

Почему это важно

  • Пользователи рискуют потерять деньги и конфиденциальные данные, которые затем могут использоваться для дальнейших мошенничеств.
  • Инфраструктура, связанная со state‑sponsored группами, может применяться не только для фишинга, но и для более серьёзных операционных кампаний.
  • Обход правил регистрации доменов и слабые процедуры верификации регистраторов подрывают меры безопасности на уровне экосистемы интернета.

Рекомендации

Для уменьшения рисков и нейтрализации кампании необходимы координированные действия различный участников:

  • Пользователям: не вводить личные данные и реквизиты карт на сайтах, пришедших по сомнительным ссылкам; сверять доменное имя и контактную информацию с официальными ресурсами организаций; при сомнениях — обращаться напрямую в организацию через официальные каналы.
  • CIRA и регистраторы: усилить процедуры проверки связки доменов .ca с канадскими контактами; внедрить автоматизированный мониторинг языка и шаблонов, характерных для мошенничества; ускорить процедуры реагирования и аннулирования явно fraudulent domains.
  • Правоохранительным органам и регуляторам (включая ARIN): инициировать расследования в отношении RouterHosting LLC / Cloudzy; проверить соблюдение регуляторных требований и возможные нарушения санкций; наладить международное сотрудничество по пресечению деятельности инфраструктуры.
  • ИТ‑сообществу и провайдерам безопасности: обмениваться индикаторами компрометации (IoC), блокировать известные вредоносные домены и IP‑адреса, усиливать мониторинг активности, связанной с RouterHosting/Cloudzy.

Вывод

Обнаруженная кампания показывает, что мошенники продолжают эффективно эксплуатировать уязвимости экосистемы регистрации доменов и слабые верификационные процессы. Особая тревога вызывает связь хостинга с группами, поддерживаемыми государствами, и сложность надзора из‑за корпоративных изменений (RouterHosting LLC → Cloudzy). Необходимы непрерывный мониторинг, целевые расследования и совместные меры регистраторов, правоохранительных органов и отрасли, чтобы снизить угрозы для канадских пользователей и сохранить целостность цифровой инфраструктуры.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: