Хакерская группа FUNNULL использует облачные сервисы для преступной деятельности

Хакерская группа FUNNULL использует облачные сервисы для преступной деятельности

Источник: www.silentpush.com

Недавнее исследование подчеркивает тревожную ситуацию в сфере кибербезопасности, где хакерская группа FUNNULL активно использует крупнейшие облачные сервисы, такие как Amazon Web Services (AWS) и Microsoft Azure, для осуществления своих преступных операций. Это открывает новые горизонты для киберпреступлений и вызывает серьезные опасения среди экспертов и правоохранительных органов.

Киберпреступления под прикрытием облака

Группа FUNNULL арендовала более 1200 IP-адресов у AWS и почти 200 у Microsoft, несмотря на меры по блокировке небезопасных адресов. Исследование показывает, что:

  • FUNNULL использует украденные или мошеннические учетные записи для получения новых адресов.
  • Точные механизмы их работы остаются неясными из-за архитектурных ограничений в системе DNS облачных провайдеров.
  • Группа ведет операции по отмыванию денег, фишинг-атакам и другим формам онлайн-мошенничества.

Стратегия скрытия и оптимизации

Подход FUNNULL заключается в использовании легитимных облачных платформ для размещения своих вредоносных сервисов. Это позволяет:

  • Скрывать преступные намерения.
  • Оптимизировать скорость доступа для пользователей, особенно в таких регионах, как США.

Традиционные методы и новые технологии

АНАЛИЗ УГРОЗ подчеркивает, что деятельность FUNNULL отражает стандартные методы отмывания денег, где преступные доходы легализуются с помощью популярных онлайн-сервисов. Их особая стратегия:

  • Использование методов DNS, особенно сопоставления CNAME.
  • Привязка более 200 000 доменов, созданных с помощью алгоритмов DGA, к легитимным IP-адресам.

Фишинг и организованная преступность

Выводы указывают на причастность FUNNULL к масштабным фишинговым кампаниям, нацеленным на известные бренды. Они активно используют уязвимости для создания мошеннических страниц входа, что позволяет им:

  • Оставаться активными даже после блокировок предыдущих IP-адресов.
  • Перекрываться с организованной преступностью, особенно с китайскими группировками «Триада».

Необходимость усиленного контроля

Манипуляции с облачной инфраструктурой группой FUNNULL создают серьезные вызовы для поставщиков облачных услуг, в частности:

  • Затруднения в мониторинге в режиме реального времени.
  • Проблемы с немедленным устранением угроз.

Эти обстоятельства подчеркивают острую необходимость в более строгом надзоре и активных следственных действиях со стороны облачных провайдеров, чтобы пресечь использование их инфраструктуры злоумышленниками.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: