Группа GreenSpot угрожает пользователям 163.com через фишинг

Недавние исследования в области кибербезопасности выявили активность группы Advanced Persistent Threat (APT) под названием GreenSpot, которая нацеливается на пользователей популярного китайского сайта 163.com. Злоумышленники используют мошеннические страницы загрузки и поддельные домены для осуществления своих атак.
Методы атаки
Исследование началось с выявления двух доменов, зарегистрированных через реселлера SugarHosts. Это наводит на мысль о попытке хакера скрыть своё присутствие и создать вредоносную инфраструктуру. Оба домена преобразуются в IP-адрес:
- IP-адрес: 139.162.62.21
- Хостинг: облачная сеть Akamai Connected Cloud, Сингапур
- Открытые порты: 22 и 80
Примечательно, что порт 80 возвращает нестандартный HTTP-код состояния, равный 588. Хотя этот код не распознан IANA, его использование Alibaba Cloud указывает на ошибки «Превышено допустимое значение». Этот необычный ответ может свидетельствовать о специализированной конфигурации сервера.
Технические детали атаки
Операционный механизм атаки включает в себя полезную нагрузку на основе JavaScript, которая срабатывает при вводе учетных данных пользователя на фишинговой странице 163nailaiba.php. Скрипт динамически создает перенаправляющие ссылки на основе запрашиваемого домена, после чего отображает страницу с ошибкой 404, что дополнительно маскирует намерения злоумышленников.
Эта кампания ориентирована на целевую аудиторию 163.com, но учитывает более широкий спектр угроз, способных затронуть различные сервисы и регионы. Методы, используемые GreenSpot, включают:
- Использование доменов-обманщиков
- Поддельные сертификаты TLS
- Мошеннические интерфейсы для сбора конфиденциальной информации
Уязвимости и рекомендации
Эти действия подчеркивают уязвимость, присущую платформам бесплатной электронной почты. Важно отметить, что для защиты данных пользователи должны активно применять многофакторную аутентификацию и другие меры безопасности. Отсутствие таких средств увеличивает риск кражи учетных данных и подвергает риску коммуникацию и личную информацию пользователей.
Что делать для защиты?
Чтобы противостоять угрозам от таких групп, как GreenSpot, организациям и частным лицам рекомендуется:
- Сосредоточить внимание на выявлении неправильных регистраций доменов
- Отслеживать аномалии в сертификатах SSL/TLS
- Обращать внимание на необычные HTTP-ответы
Кроме того, настоятельно рекомендуется внедрять многофакторную аутентификацию, улучшать методы мониторинга сети и поддерживать актуальную информацию об угрозах, чтобы снизить риски, связанные с активностью продвинутых киберпреступников.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



