СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
04.11.2025
#ИБ#Инфра

Многоязычные ZIP‑фишинговые кампании, нацеленные на организации Азии

Исследователи обнаружили серию скоординированных фишинговых кампаний, нацеленных на организации в Азии — в частности на Тайване, Индонезии, Китае, Японии и других странах Юго‑Восточной Азии. Злоумышленники использовали многоязычные ловушки и архивы (ZIP и RAR), маскируя вредоносные полезные нагрузки под бюрократические уведомления, начисления заработной платы и налоговые документы.

Краткая справка по масштабу и структуре

В общей сложности зафиксировано 28 уникальных страниц фишинга, разделённых на три языковые группы:

  • 12 страниц для китайской аудитории;
  • 12 страниц для англоязычной аудитории;
  • 4 страницы для японской аудитории.

Все инфраструктуры демонстрируют схожий дизайн и функциональность, что указывает на централизованную или повторно используемую платформу управления кампаниями.

Унифицированный серверный интерфейс с использованием скриптов download.php и visitor_log.php предполагает автоматизированный механизм развертывания и адаптации фишинга по регионам.

Технические детали и тактики злоумышленников

Атаки организованы по отработанной схеме: злоумышленники рассылали фишинговые ссылки или письма с призывом скачать архивы (ZIP/RAR). Внутри таких архивов скрывались исполняемые файлы или загрузчики, которые при запуске доставляли вредоносные полезные нагрузки.

Ключевые технические особенности кампаний:

  • Единая серверная логика и повторное использование инфраструктуры (один оператор или набор инструментов поддерживает множество кампаний).
  • Использование скриптов download.php и visitor_log.php для управления распространением и сбором данных о жертвах.
  • Обфускация через «безобидные» имена файлов, чтобы обойти почтовые шлюзы и веб‑фильтры.
  • Регистрация доменов с учётом региональной специфики доверия (.vip, .sbs, .xin и др.).
  • Соответствие приёмам, описанным в MITRE ATT&CK: разведка (reconnaissance) и фишинг для получения первоначального доступа.

Примеры задействованных доменов

Исследование отмечает множественные домены, которые неоднократно использовались в фишинговой активности. Среди упомянутых доменов — zxp0010w.vip (китайский контент), gjqygs.cn (англоязычный контент) и jpjpz1.cc (японский контент). Их повторные обнаружения в разные даты указывают на длительные и повторяющиеся попытки атак.

Цели и социальная инженерия

Целями были финансовые и государственные структуры, что делает ловы особенно опасными: сотрудники таких организаций более склонны открывать документы, связанные с оплатой, вознаграждениями или официальными сообщениями. Для повышения доверия злоумышленники использовали бюрократические формулировки и региональноориентированные тексты.

Рекомендации по защите и смягчению рисков

Для уменьшения рисков от подобных кампаний организациям рекомендуется принять комплекс мер:

  • Блокировать вновь выявленные вредоносные домены и IP‑адреса на уровне шлюзов и прокси.
  • Мониторить шаблоны именования и контент фишинговых страниц для обнаружения повторно используемых индикаторов.
  • Ограничить обработку и автоматическое выполнение исполняемых файлов и архивов (ZIP, RAR), особенно в контексте электронной почты.
  • Внедрить фильтрацию вложений на почтовых шлюзах и анализ на уровне sandboxes для подозрительных архивов.
  • Проводить регулярное обучение сотрудников: разъяснять опасности загрузки вложений, даже если они выглядят как официальные финансовые или налоговые уведомления.
  • Настроить процессы реагирования, чтобы оперативно удалять фишинговые страницы и уведомлять потенциальных жертв при обнаружении компрометации.

Вывод

Анализ показывает, что перед нами — тщательно продуманная, многоязычная и адаптивная кампания ZIP‑фишинга с повторным использованием инфраструктуры и регионально ориентированными ловушками. Комбинация автоматизированного развертывания, обфускации и целевых тематик (зарплаты, налоги, бюрократия) повышает вероятность успешной компрометации. Своевременные технические меры и повышение осведомлённости пользователей остаются ключевыми факторами защиты от этой сменяющейся угрозы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: