Тактика киберпреступников указала на следующие цели группировок.
Исследователи Insikt Group из Recorded Future Для просмотра ссылки Войди
Хакеры использовали инфраструктуру и Для просмотра ссылки Войди
- доменных имен с определенной конструкцией шаблона и TLS-сертификатами Let’s Encrypt;
- определенных хостинг-провайдеров;
- небольшого кластера автономных систем.
Insikt Group обнаружила 38 зарегистрированных доменов, используемых группой с января, причем большинство из них зарегистрированы NameCheap, Porkbun, REG.RU и regway.
Имена большинства доменов имитировали популярные сервисы, такие как «cloud-safety.online», «share-drive-ua.com» и «nonviolent-conflict-service.com». Все домены имели TLS-сертификаты X.509 от Let’s Encrypt — некоммерческим центром сертификации, который предоставляет сертификаты более 300 млн. сайтов.
Домены предназначены для того, чтобы подделать сайты:
- оборонных компаний UMO Poland, Global Ordnance и Sangrail LTD;
- комиссии по международному правосудию и подотчетности;
- спутниковой компании Blue Sky Network.
На 9-ти доменах были ссылки на организации, на которые может быть нацелена группа. Причем 7 из них направлены на определенные отрасли, которые, по словам экспертов, будут интересны другим группировкам из России. Исследователи также добавили, что 2 мошеннических домена предназначены для маскировки под МВД России.
Группа Insikt отметила, что использование группой специально разработанной инфраструктуры указывает на «долгосрочное использование аналогичных методов для своих стратегических кампаний».
- Источник новости
- https://www.securitylab.ru/news/535166.php