200 000 теневых доменов: китайская CDN FUNNULL стала центром киберпреступности

200 000 теневых доменов: китайская CDN FUNNULL стала центром киберпреступности

Сеть FUNNULL создала армию бессмертных доменов-призраков.

image

Специалисты Silent Push раскрыли многолетнюю деятельность китайской сети доставки контента (Content Delivery Network, CDN) под названием FUNNULL, поддерживающей масштабные преступные кампании. В течение более 2 лет эксперты отслеживали FUNNULL, выявив связь с мошенничеством в инвестициях, фальшивыми торговыми приложениями и подозрительными сетями азартных игр.

Согласно результатам исследования, инфраструктура FUNNULL используется для проксирования более 200 000 уникальных доменов, 95% из которых созданы с помощью алгоритмов генерации доменных имен (DGA). Это усложняет отслеживание и блокировку, поскольку DGA-домены представляют собой случайные последовательности символов и чисел, которые могут меняться автоматически.

Silent Push обозначила кластер вредоносных доменов термином «Triad Nexus», подчеркивая связь FUNNULL с организованной преступностью. Исследователи также обнаружили тысячи сайтов азартных игр, которые используют бренды Suncity Group — организации, тесно связанной с группировкой Lazarus.

В отчёте ООН за 2024 год говорится, что Suncity Group участвовала в отмывании крупных денежных сумм, связанных с Северной Кореей. Suncity Group ранее оперировала VIP-комнатами казино в Макао, но после арестов и судебных процессов деятельность группы переместилась в интернет, где под брендом Suncity работают многочисленные сайты азартных игр.

Исследование также выявило связь FUNNULL с атакой на цепочку поставок через библиотеку Polyfill, в ходе которой пользователи мобильных устройств перенаправлялись на азиатские игровые сайты. Атака на цепочку поставок затронула крупнейшие коммерческие и правительственные сайты по всему миру.

Помимо мошенничества с азартными играми, через инфраструктуру FUNNULL распространяются фишинговые кампании, нацеленные на крупные бренды, такие как Chanel, Cartier, Tiffany & Co., eBay и другие. Фишинговые сайты использовали страницы для ввода логинов, маскируясь под официальные сайты компаний, чтобы украсть личные данные пользователей.

CDN FUNNULL работает по принципу «Пуленепробиваемый хостинг» (Bulletproof Hosting) — серверов, которые игнорируют запросы на удаление вредоносного контента. Это позволяет преступной инфраструктуре оставаться активной дольше обычного. На своём сайте FUNNULL не предоставляет чёткой процедуры для обработки запросов на удаление материалов, что создает дополнительные проблемы для правоохранительных органов и компаний, борющихся с киберпреступностью.

Silent Push планирует продолжить расследование и выпускать дополнительные отчёты, раскрывающие новые детали инфраструктуры FUNNULL.

Красная или синяя таблетка?

В Матрице безопасности выбор очевиден

Выберите реальность — подпишитесь