Группа GreenSpot угрожает пользователям 163.com через фишинг

Группа GreenSpot угрожает пользователям 163.com через фишинг

Недавние исследования в области кибербезопасности выявили активность группы Advanced Persistent Threat (APT) под названием GreenSpot, которая нацеливается на пользователей популярного китайского сайта 163.com. Злоумышленники используют мошеннические страницы загрузки и поддельные домены для осуществления своих атак.

Методы атаки

Исследование началось с выявления двух доменов, зарегистрированных через реселлера SugarHosts. Это наводит на мысль о попытке хакера скрыть своё присутствие и создать вредоносную инфраструктуру. Оба домена преобразуются в IP-адрес:

  • IP-адрес: 139.162.62.21
  • Хостинг: облачная сеть Akamai Connected Cloud, Сингапур
  • Открытые порты: 22 и 80

Примечательно, что порт 80 возвращает нестандартный HTTP-код состояния, равный 588. Хотя этот код не распознан IANA, его использование Alibaba Cloud указывает на ошибки «Превышено допустимое значение». Этот необычный ответ может свидетельствовать о специализированной конфигурации сервера.

Технические детали атаки

Операционный механизм атаки включает в себя полезную нагрузку на основе JavaScript, которая срабатывает при вводе учетных данных пользователя на фишинговой странице 163nailaiba.php. Скрипт динамически создает перенаправляющие ссылки на основе запрашиваемого домена, после чего отображает страницу с ошибкой 404, что дополнительно маскирует намерения злоумышленников.

Эта кампания ориентирована на целевую аудиторию 163.com, но учитывает более широкий спектр угроз, способных затронуть различные сервисы и регионы. Методы, используемые GreenSpot, включают:

  • Использование доменов-обманщиков
  • Поддельные сертификаты TLS
  • Мошеннические интерфейсы для сбора конфиденциальной информации

Уязвимости и рекомендации

Эти действия подчеркивают уязвимость, присущую платформам бесплатной электронной почты. Важно отметить, что для защиты данных пользователи должны активно применять многофакторную аутентификацию и другие меры безопасности. Отсутствие таких средств увеличивает риск кражи учетных данных и подвергает риску коммуникацию и личную информацию пользователей.

Что делать для защиты?

Чтобы противостоять угрозам от таких групп, как GreenSpot, организациям и частным лицам рекомендуется:

  • Сосредоточить внимание на выявлении неправильных регистраций доменов
  • Отслеживать аномалии в сертификатах SSL/TLS
  • Обращать внимание на необычные HTTP-ответы

Кроме того, настоятельно рекомендуется внедрять многофакторную аутентификацию, улучшать методы мониторинга сети и поддерживать актуальную информацию об угрозах, чтобы снизить риски, связанные с активностью продвинутых киберпреступников.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: