СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
09.12.2025
#ИБ

Государственная APT в Индонезии: азартные игры и 328 000 доменов

Новое исследование выявило масштабную и долгосрочную операцию по борьбе с киберпреступностью, спонсируемую государством в Индонезии. Операция действует свыше 14 лет и использует инфраструктуру, сопоставимую по возможностям с APT‑акторами государственного уровня, в том числе для поддержки незаконных азартных игр и широкой киберпреступной деятельности.

Ключевые факты

  • Общая инфраструктура включает более 328 000 доменов, из которых 90 125 — взломанные домены и 236 433 — купленные домены.
  • Значительная часть атак нацелена на организации и государственные учреждения в разных секторах через уязвимости в WordPress и PHP.
  • Используются обратные прокси-серверы, завершающие работу по протоколу TLS, для сокрытия трафика command and control (C2) и облегчения кражи cookie на скомпрометированных сайтах.
  • Обнаружено более 51 000 украденных учетных данных, собранных со взломанных игровых платформ и зараженных устройств.

Методы и тактики злоумышленников

Акторы активно эксплуатируют уязвимости в приложениях на базе WordPress и PHP, получая доступ к законным веб‑ресурсам. Дальнейшие действия включают:

  • перехват и замена существующего контента для перенаправления пользователей на сайты азартных игр;
  • создание новых каталогов на затронутых сайтах для размещения спам‑контента;
  • установка бэкдоров, в частности бэкдора GSocket, для обеспечения постоянного доступа;
  • манипуляции с просроченными записями DNS и зависшими доменами для закрепления контроля.

Компонент мобильной экосистемы

Значительная часть вредоносной инфраструктуры связана с Android: тысячи файлов APK размещены в хранилище AWS S3. Эти приложения предназначены как для кражи данных, так и для перенаправления пользователей на сайты азартных игр.

«Архитектура операции предполагает намерения замаскировать возможности C2 за фасадом азартных игр, что служит двойной цели — продвижение незаконных азартных игр и участие в более широкой киберпреступной деятельности.»

Рекламная стратегия и охват

Акторы интегрировали рекламные аспекты сайтов азартных игр в платформы социальных сетей, в том числе Facebook (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta), Instagram (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta), TikTok и другие. Это указывает на скоординированную и многоуровневую стратегию привлечения трафика и маскировки преступной деятельности под легитимный маркетинг.

Региональные связи и язык

Анализ показателей активности указывает на глубокие связи в Азиатско‑Тихоокеанском регионе. Скорее всего, в составе актора есть сотрудники, говорящие на индонезийском и, возможно, на китайском языках, что облегчает региональную координацию и эксплуатацию локальных ресурсов.

Риски и последствия

Комплексная инфраструктура и сочетание технических и социальных методов увеличивают риск:

  • массового распространения вредоносного ПО и кражи персональных данных;
  • широкого злоупотребления взломанными доменами и подменённых ресурсах;
  • торговли украденными учетными данными на подпольных рынках;
  • скрытого управления ботнетами и системой C2 под видом легитимных азартных платформ.

Рекомендации и контрмеры

Исследование предлагает ряд практических мер для снижения рисков и обнаружения вредоносной инфраструктуры:

  • провести надежный аудит DNS и выявить уязвимые/просроченные записи и зависшие домены;
  • усилить протоколы безопасности для конфиденциальных веб‑приложений, особенно на базе WordPress и PHP (обновления, WAF, ограничение прав доступа);
  • использовать сетевую аналитику для обнаружения атипичных паттернов исходящего трафика, характерных для C2 и прокси‑серверов;
  • проверять целостность веб‑контента и оперативно реагировать на несанкционированные изменения каталогов и файлов;
  • мониторить хранилища вроде AWS S3 на предмет размещения подозрительных APK и блокировать распространение вредоносных приложений;
  • вводить процедуры смены и защиты учетных данных, а также мониторить появления скомпрометированных паролей на подпольных рынках.

Вывод

Операция представляет собой пример сложной, долго действующей и ресурсно обеспеченной кампании, где незаконные азартные игры используются как ширма для более широкой киберпреступной деятельности. Комплексный характер инфраструктуры требует повышенной бдительности со стороны организаций и государственных учреждений, а также скоординированных упреждающих мер по обнаружению и нейтрализации захваченных доменов и утечек учетных данных.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: