Новости Хакеры выдали себя за американского поставщика оружия

NewsMaker

I'm just a script
Премиум
13,891
20
8 Ноя 2022

Тактика киберпреступников указала на следующие цели группировок.​


okn86m2h0m6qyhojteh9pwt1kk0sqab0.jpg


Исследователи Insikt Group из Recorded Future Для просмотра ссылки Войди или Зарегистрируйся , что группировка Для просмотра ссылки Войди или Зарегистрируйся (так же известная как Callisto, COLDRIVER и TA446) подделала страницу входа Microsoft американского поставщика военного оборудования в качестве фишинговой приманки. Поддельная страница входа имитирует страницу компании Global Ordnance.


content-img(901).png


Хакеры использовали инфраструктуру и Для просмотра ссылки Войди или Зарегистрируйся для создания фишинговых страниц и дальнейшего сбора учетных данных. Более того, тактика SEABORGIUM пересекается с TTPs группировки TAG-53 и включает использование:

  • доменных имен с определенной конструкцией шаблона и TLS-сертификатами Let’s Encrypt;
  • определенных хостинг-провайдеров;
  • небольшого кластера автономных систем.

Insikt Group обнаружила 38 зарегистрированных доменов, используемых группой с января, причем большинство из них зарегистрированы NameCheap, Porkbun, REG.RU и regway.

Имена большинства доменов имитировали популярные сервисы, такие как «cloud-safety.online», «share-drive-ua.com» и «nonviolent-conflict-service.com». Все домены имели TLS-сертификаты X.509 от Let’s Encrypt — некоммерческим центром сертификации, который предоставляет сертификаты более 300 млн. сайтов.

Домены предназначены для того, чтобы подделать сайты:

  • оборонных компаний UMO Poland, Global Ordnance и Sangrail LTD;
  • комиссии по международному правосудию и подотчетности;
  • спутниковой компании Blue Sky Network.

На 9-ти доменах были ссылки на организации, на которые может быть нацелена группа. Причем 7 из них направлены на определенные отрасли, которые, по словам экспертов, будут интересны другим группировкам из России. Исследователи также добавили, что 2 мошеннических домена предназначены для маскировки под МВД России.

Группа Insikt отметила, что использование группой специально разработанной инфраструктуры указывает на «долгосрочное использование аналогичных методов для своих стратегических кампаний».
 
Источник новости
https://www.securitylab.ru/news/535166.php

Похожие темы