СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 21:24
#ИБ

UNC1151 нацелилась на Gmail-почты поляков через фишинг

Группа UNC1151/Ghostwriter, известная как advanced persistent threat (APT), заметно изменила тактику: с марта 2026 года она все чаще нацеливается на учетные записи Gmail польских граждан. Если ранее основной акцент делался на локальные польские почтовые сервисы, то теперь злоумышленники активно используют поддельные письма, имитирующие уведомления администраторов Gmail, чтобы перехватывать учетные данные и коды 2FA.

По данным отчета, атаки преимущественно происходят в будние дни. Это, по всей видимости, позволяет злоумышленникам действовать в период наибольшей деловой активности, когда пользователи реже подозревают неладное и быстрее реагируют на сообщения с пометкой о срочности.

Как работает схема атаки

Фишинговые кампании UNC1151/Ghostwriter построены вокруг социальной инженерии. Жертвам отправляют письма на польском языке, тщательно выверенные и лишенные очевидных грамматических ошибок. В сообщениях содержатся предупреждения о якобы подозрительной активности или нарушении условий использования, что создает ощущение срочности и подталкивает пользователя перейти по ссылке.

Ссылки ведут на поддельные страницы входа в Gmail, где злоумышленники стремятся собрать:

  • логины и пароли;
  • коды двухфакторной аутентификации 2FA;
  • SMS-коды;
  • коды, генерируемые приложениями для аутентификации.

После ввода этих данных атакующие могут практически немедленно попытаться войти в учетную запись жертвы. В случаях, когда требуется дополнительная проверка, фишинговые страницы выводят последующие запросы, чтобы выманить и дополнительные коды подтверждения.

Поддельные страницы стали опаснее

Особую тревогу вызывает то, что фишинговая инфраструктура UNC1151/Ghostwriter эволюционировала. Поддельные страницы входа теперь способны захватывать не только учетные данные, но и коды 2FA, что существенно повышает вероятность успешного захвата аккаунта.

Злоумышленники также используют BCC, чтобы скрывать идентичность получателей и одновременно расширять охват кампании. Это позволяет рассылаемым письмам выглядеть менее заметно и усложняет анализ массовой рассылки со стороны получателей и специалистов по безопасности.

Инфраструктура: динамичная и маскирующаяся

Инфраструктура кампаний UNC1151 отличается гибкостью и обманчивостью. В нее входят:

  • недавно зарегистрированные phishing domains;
  • subdomains, созданные на легитимных platform;
  • скомпрометированные websites польских организаций, используемые для размещения поддельных login panels.

Такой подход позволяет злоумышленникам маскировать вредоносную активность под легитимные ресурсы и дольше оставаться незамеченными. В ряде случаев поддельные панели входа размещаются именно на скомпрометированных сайтах, что дополнительно повышает доверие со стороны жертвы.

Переход от локальных почтовых сервисов к Gmail

Сдвиг UNC1151 в сторону атак на Gmail выглядит как эскалация их стратегии. Ранее группа активнее работала против польских почтовых провайдеров, включая Onet и Wirtualna Polska, однако эти кампании со временем пошли на спад. Это не означает отказ от прежних целей: напротив, группа продолжает адаптировать инструменты и методы под новые векторы атаки.

По сути, речь идет не о смене тактики ради смены тактики, а о последовательной эксплуатации тех каналов, где вероятность успешного фишинга выше. Gmail остается особенно привлекательной целью, поскольку доступ к нему часто открывает злоумышленникам путь к другим сервисам, рабочим перепискам и восстановлению доступа к связанным аккаунтам.

Почему эта кампания опасна

Опасность кампаний UNC1151/Ghostwriter заключается не только в масштабе рассылки, но и в их продуманности. Злоумышленники:

  • используют правдоподобные тексты на польском языке;
  • эксплуатируют доверие к официальным уведомлениям;
  • давят на срочность и страх потери доступа;
  • повторно атакуют одни и те же учетные записи;
  • быстро запускают follow-up campaigns для повышения вероятности успеха.

Именно настойчивость делает эту угрозу особенно устойчивой. Даже если пользователь не реагирует на первое письмо, последующие волны могут быть подготовлены так, чтобы постепенно снижать бдительность и подталкивать к ошибке.

Вывод

Отчет показывает, что UNC1151/Ghostwriter продолжает развивать свои фишинговые операции и стремится к захвату как можно большего числа учетных записей Gmail среди польских пользователей. Комбинация точной социальной инженерии, многоступенчатого перехвата 2FA и гибкой инфраструктуры делает эту кампанию особенно опасной.

Главный вывод для потенциальных целей один: такие атаки не выглядят грубо и примитивно, они становятся все более убедительными, а значит, требуют повышенной бдительности при любом запросе на вход в аккаунт, особенно если он приходит неожиданно.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: