В данном тексте речь идет о компании Silent Push, которая уже более двух лет отслеживает сеть доставки контента (CDN) FUNNULL. В этой сети происходят постоянные преступные кампании, связанные с инвестиционными аферами, поддельными торговыми приложениями и подозрительными сетями азартных игр. Компания Silent Push назвала кластер вредоносных доменов FUNNULL "Triad Nexus".
Описание
Исследование показало, что есть связь между Suncity Group - организацией, связанной с преступной группировкой Lazarus, и Tether - криптовалютой, используемой на подозрительных игорных сайтах, обслуживающих Восточную и Юго-Восточную Азию.
Один из скандалов, связанных с компанией FUNNULL CDN, произошел в 2024 году, когда они приобрели популярную библиотеку JavaScript с открытым исходным кодом Polyfill. Некоторое время спустя была обнаружена атака на сайты с установленным Polyfill JS, которая затронула более 110 000 сайтов.
Кроме того, исследователи обнаружили фишинговые аферы, направленные на крупные бренды розничной торговли, которые использовали FUNNULL.
Важно отметить, что Silent Push не может сообщить точные данные в блоге из соображений безопасности. Однако клиенты Silent Push Enterprise имеют доступ к отчету, содержащему все данные и точки разворота, которые использовались для отслеживания инфраструктуры FUNNULL.
Аналитики Silent Push обратили внимание на компанию FUNNULL в ходе исследования, начатого в 2022 году. В результате исследования были обнаружены поддельные торговые приложения, связанные с финансовым мошенничеством. Кроме того, была выявлена связь между FUNNULL и организациями, занимающимися отмыванием денег, а также составлена карта алгоритмически сгенерированных доменов, на которых размещаются подозрительные игорные сайты.
Интересно отметить, что формулы генерации доменов (DGA) играют большую роль в создании подозрительных доменов на FUNNULL. Около 95% доменов, обнаруженных в ходе исследования, были созданы с использованием DGA.
Также был обнаружен шаблон рекламного сайта, который связан с разработчиком, работающим с FUNNULL. Этот шаблон рекламирует сеть по отмыванию денег.
В целом, результаты исследования компании Silent Push помогают понять вредоносную инфраструктуру FUNNULL и могут быть использованы для проведения дополнительных исследований.
Indicators of Compromise
Domains
- 12abb97f.u.fn03.vip
- 6289.com
- 6ce0a6db.u.fn03.vip
- acb.bet
- aldo.shopaldo1.com
- aldosopy.com
- asda.aseasda.com
- asda.assedaa.com
- asda.assedda.com
- bcbdsgs.com
- bonanza.jdfraa.com
- cartier.cartierate.com
- casher.cashewargi.com
- cjmall01.com
- coachbir.com
- coachoig.com
- coachoph.com
- ebate.ebatshop.com
- ebay.ebayshoo.com
- eby.ebanyshop.com
- eby.ebayshos.com
- etsy.etsyshop1.com
- fn03.vip
- funnull.vip
- funnull01.vip
- giltbl.com
- giltql.com
- giltql.net
- h5.aldosop.com
- haodeac.com
- hiflyk47344.top
- inditetx.com
- inditetx.net
- inditetx.top
- jdfraa.shop
- jdfroa.com
- k76697.com
- lotasea.com
- marcus.marcudk.com
- marcus.marcudk.net
- marcus.marcufu.net
- milvmhshop.com
- Polyfill.io
- r0944.com
- r4113.com
- s3958.com
- s97988.com
- sakoffhue.com
- sakoffirg.com
- sakofforg.net
- slvmgo.com
- slvmgo.net
- sonbuyre.com
- sonbuyue.com
- sonbuyue.net
- t25556.com
- tiffa.tiffyfy.net
- valentinogtm.com
- vk6a2rmn-u.funnull.vip
- vk6a2rmn-u.funnull01.vip
- www.cmegrouphkpd.info
