Хакеры выдали себя за американского поставщика оружия

Хакеры выдали себя за американского поставщика оружия

Тактика киберпреступников указала на следующие цели группировок.

image

Исследователи Insikt Group из Recorded Future обнаружили , что группировка SEABORGIUM (так же известная как Callisto, COLDRIVER и TA446) подделала страницу входа Microsoft американского поставщика военного оборудования в качестве фишинговой приманки. Поддельная страница входа имитирует страницу компании Global Ordnance.


Хакеры использовали инфраструктуру и TTPs для создания фишинговых страниц и дальнейшего сбора учетных данных. Более того, тактика SEABORGIUM пересекается с TTPs группировки TAG-53 и включает использование:

  • доменных имен с определенной конструкцией шаблона и TLS-сертификатами Let’s Encrypt;
  • определенных хостинг-провайдеров;
  • небольшого кластера автономных систем.

Insikt Group обнаружила 38 зарегистрированных доменов, используемых группой с января, причем большинство из них зарегистрированы NameCheap, Porkbun, REG.RU и regway.

Имена большинства доменов имитировали популярные сервисы, такие как «cloud-safety.online», «share-drive-ua.com» и «nonviolent-conflict-service.com». Все домены имели TLS-сертификаты X.509 от Let’s Encrypt — некоммерческим центром сертификации, который предоставляет сертификаты более 300 млн. сайтов.

Домены предназначены для того, чтобы подделать сайты:

  • оборонных компаний UMO Poland, Global Ordnance и Sangrail LTD;
  • комиссии по международному правосудию и подотчетности;
  • спутниковой компании Blue Sky Network.

На 9-ти доменах были ссылки на организации, на которые может быть нацелена группа. Причем 7 из них направлены на определенные отрасли, которые, по словам экспертов, будут интересны другим группировкам из России. Исследователи также добавили, что 2 мошеннических домена предназначены для маскировки под МВД России.

Группа Insikt отметила, что использование группой специально разработанной инфраструктуры указывает на «долгосрочное использование аналогичных методов для своих стратегических кампаний».

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь