Группа BlueDelta продолжает целенаправленную кампанию по хищению учетных данных пользователей украинского сервиса UKR[.]NET

Группа BlueDelta на протяжении более десяти лет проводит фишинговые операции и операции по хищению учетных данных. В текущей кампании злоумышленники развернули несколько фишинговых страниц, стилизованных под официальную страницу входа в UKR.NET. Для сбора логинов, паролей и кодов двухфакторной аутентификации группа активно использовала бесплатные веб-сервисы, такие как Mocky и DNS EXIT, а также платформы прокси-туннелирования, включая ngrok и Serveo. Важным элементом атаки стало распространение вредоносных PDF-документов со встроенными ссылками на эти фишинговые страницы. Этот метод позволяет обходить автоматическое сканирование электронной почты и детектирование в песочницах (sandbox).

Переход BlueDelta с использования скомпрометированных маршрутизаторов на публичные сервисы прокси-туннелирования, вероятно, является адаптивным ответом на совместные усилия по ликвидации инфраструктуры группы, предпринятые под руководством западных стран в начале 2024 года. Аналитики отмечают, что инструменты, выбор инфраструктуры и специализированный JavaScript, использованные в этой кампании, соответствуют установленным методам работы BlueDelta.

Технический анализ показал последовательное развитие инфраструктуры. Изначально фишинговые страницы размещались на Mocky, а для ретрансляции похищенных данных использовались поддомены DNS EXIT, которые перенаправляли трафик через ngrok. Позже группа начала использовать Serveo, а затем вернулась к ngrok, применяя новые домены для перенаправления, такие как ukraine.html-5[.]me, чтобы скрыть прямые ссылки на Mocky в фишинговых письмах. Ключевой находкой стало обнаружение более двадцати PDF-приманок, которые информировали жертву о подозрительной активности в учетной записи UKR.NET и требовали перейти по ссылке для сброса пароля. Ссылки в PDF-файлах были сокращены с помощью сервисов вроде tinyurl.com или замаскированы под бесплатные домены.

В период с марта по апрель 2025 года BlueDelta обновила свою многоуровневую инфраструктуру, продемонстрировав возросшую сложность. Группа перешла на использование бесплатных поддоменов ngrok v3 (например, abaf-5-135-199-21.ngrok-free[.]app) в качестве промежуточного звена, а для финального сбора данных задействовала выделенные серверы во Франции и Канаде. Также был добавлен новый заголовок HTTP в JavaScript фишинговых страниц, чтобы отключить предупреждающее сообщение браузера ngrok, которое могло бы насторожить жертву.

Аналитики подчеркивают, что эта кампания демонстрирует постоянную доработку операций BlueDelta по хищению учетных данных. В будущем, вероятно, продолжится использование BlueDelta недорогой и анонимной веб-инфраструктуры, а также дальнейшая диверсификация платформ для хостинга и перенаправления для поддержания операционной непрерывности.

Для защиты от подобных угроз эксперты рекомендуют организациям применять комплекс мер. К ним относятся принудительное использование надежных уникальных паролей и многофакторной аутентификации (MFA), блокировка нежелательных бесплатных хостингов и туннельных сервисов на корпоративных шлюзах, а также постоянное обучение сотрудников распознаванию фишинговых атак. Кроме того, необходим мониторинг почтового трафика на наличие PDF-вложений с темами сброса пароля и анализ попыток аутентификации с нестандартных портов или через прокси-сервисы.

IPv4

• 179.43.141.80
• 18.157.68.73
• 3.67.15.169
• 5.135.199.21
• 51.161.109.50
• 73.80.9.137

Domains

• 1961-51-161-109-50.ngrok-free.app
• 2884-51-161-109-50.ngrok-free.app
• 2a06-51-161-109-50.ngrok-free.app
• 3576-51-161-109-50.ngrok-free.app
• 3bb1-51-161-109-50.ngrok-free.app
• 47e811dbe2ed0ea8d506af94c1bb7d4c.serveo.net
• 5ae39a1b39d45d08f947bdf0ee0452ae.serveo.net
• 6c7aa72bd5f1d30203b80596f926b2b7.serveo.net
• 73ce1aae8a9ba738b91040232524f51a.serveo.net
• 7dc8-51-161-109-50.ngrok-free.app
• 838f-51-161-109-50.ngrok-free.app
• 92ace7e653e9c32d2af9700592cc96ea.serveo.net
• abaf-5-135-199-21.ngrok-free.app
• c4cb-51-161-109-50.ngrok-free.app
• chujdrtuityui.mydiscussion.net
• d7763713839aaf61dd299a55da3aad76.serveo.net
• dd06-51-161-109-50.ngrok-free.app
• efbc-51-161-109-50.ngrok-free.app
• fghjdfhdzggjjdfd.rf.gd
• fgjgjuyfkuuyk.blogspot.com
• fgtufyiotgiyuidrti.blogspot.com
• jkbfgkjdffghh.linkpc.net
• kfghjerrlknsm.line.pm
• tuyt8erti867i.synergize.co
• ukraine.html-5.me
• ukrainesafe.is-great.org
• ukrainesafeurl.talebco.ir

Domain Port Combinations

• jkbfgkjdffghh.linkpc.net:10176
• jkbfgkjdffghh.linkpc.net:1437
• jkbfgkjdffghh.linkpc.net:1501
• jkbfgkjdffghh.linkpc.net:15018
• jkbfgkjdffghh.linkpc.net:17461
• jkbfgkjdffghh.linkpc.net:8564
• kfghjerrlknsm.line.pm:11962
• kfghjerrlknsm.line.pm:1525
• kfghjerrlknsm.line.pm:15254

URLs

• doads.org/9f75f0rn
• doads.org/nyj0zysx
• doads.org/ojitcaie
• doads.org/pyivk3q9
• doads.org/ut3japnm
• in.run/IYNx4
• linkcuts.com/5xu034g2
• linkcuts.com/8dejsa3x
• linkcuts.com/gumcrr51
• linkcuts.org/6bf4tq0y
• linkcuts.org/9f75f0rn
• linkcuts.org/fe6iazfp
• linkcuts.org/nyj0zysx
• linkcuts.org/ojitcaie
• linkcuts.org/pyivk3q9
• ln.run/IYNx4
• run.mocky.io/v3/0e41f7c1-4ab8-4d69-a8a5-e872ba5e4096
• run.mocky.io/v3/11273092-7220-4b85-b8d8-758c5fd141a2
• run.mocky.io/v3/1a7c2ded-9e67-485d-a9f0-5bc8f2e42f0e
• run.mocky.io/v3/1ec1c1ca-1116-4a92-82e4-7cd9e01bfe15
• run.mocky.io/v3/2987b99c-a0fd-4f82-a772-f84b24e537c1
• run.mocky.io/v3/2a14133a-bfe6-469d-8d96-8937b22b3d78
• run.mocky.io/v3/47d78e98-8d12-452a-922b-bae56450a393
• run.mocky.io/v3/4ddade26-9929-4860-9db1-b8a8945c3124
• run.mocky.io/v3/4e14d583-bbf5-4af3-9a86-4c0938a7802a
• run.mocky.io/v3/5b93a218-29cf-4f3e-9e52-bd605cb3791e
• run.mocky.io/v3/6ba09505-fa73-4d92-b209-641bfc51b6e2
• run.mocky.io/v3/72fa0a52-6e6e-43ad-b1c2-4782945d6050
• run.mocky.io/v3/7832d0dc-ca6b-4b74-9d3d-604ad492a8d3
• run.mocky.io/v3/8076bf0a-5c36-4d06-b12d-bfb2dc88aee4
• run.mocky.io/v3/8f375df9-2633-4adc-b328-140cafaf3b06
• run.mocky.io/v3/a6cadae8-c28a-428f-b4e9-dca5a4453f0b
• run.mocky.io/v3/b07be5c3-8801-46a5-a395-43446dc1a797
• run.mocky.io/v3/b66fd0ff-6a00-468a-b072-56e8e3457b75
• run.mocky.io/v3/df8e33e0-4c17-4564-917f-9fbff17f4571
• run.mocky.io/v3/e6e34194-3b33-4c91-9a46-8e3c8beaccf0
• run.mocky.io/v3/f45d88b1-9d37-4485-9977-c98f16c8322b
• run.mocky.io/v3/fe9b7278-d810-40b0-9716-776dbce2ee44
• t.ly/XjLH2
• tiny.cc/295kzz
• tiny.cc/67lkzz
• tinyurl.com/2hypvv9y
• tinyurl.com/2mncfbc8
• tinyurl.com/3swez53m
• tinyurl.com/53dc5zxz
• tinyurl.com/5ekbp2uv
• tinyurl.com/bddre9dp
• tinyurl.com/k3r2vvjh

SHA256

• 009440551eb6ea83da1a28361ebf44b3d022f204b99b82b83e266ec4807d18eb
• 1919d9c67a9ce00382f65b4bc1e1d1f4e4c0b296bc20ca45ba8fef8c188138ec
• 1a4c609fb75a54c7016736e471b6f92aaed7bb51257f3946e4ece9dd9125500c
• 20a3bf615c257d0c79ed82c428c3c182298876e52356988dd72dc20b2f12a217
• 2431578b5ba5a8569a689807bdb827e3d445a16cc013ed8eba7b7bfea661d76a
• 2f8e8b2783c8c47da0f265199671f3cae4e31b2a03999fff12aa3090c74c7a51
• 44935484933a13fb6632e8db92229cf1c5777333fa5a3c0a374b37428add69fb
• 53142380d75e3f54490f2896b58f308e6b91bec841d09b4e88985cb5b7812031
• 5fd8153dbb4620ab589aaa83815afce34135e5a0a5af10876fb3b0fff344c64b
• 64b26a92652bfb67cbe18217b6508fce460eff859526b2e256d3f1b9eab338b0
• 704b0a4f2f2195d22340471b9bdb06244047f7042728dd7f6aa6e3c5e30c9bc1
• 86a9ca34790e219ddc371fa154c51a9a2930e2afdebf4fc0889d2ba94d6acfc1
• 8b77e8199c61c0d97b7a40e35feedf21a168a62696b18bbb4d49766332c2c8a8
• 8f1994f2474512430f7c998dc6c57d0fd215860a24b58f90325122bb6d8a224c
• 95783d875ee50ef619f455a715150f414ed00157a6579ae6f73ccd72c394c5d8
• 9f394a9cb2e54e7be10c41b997e7dc85b882c4c7dd203b6984ca2aea151a47b5
• be3cccc2c62c0033aebcf91a6587eb815a1994cf268c42cf92ed856b6cf556aa
• c0890f375af0f503c873878b1b09a1c5147b72ab38511d9911e847c10622c0aa
• c194f619d1ed73c0f0721d818564aa8238aceba94d1e721942c5cb67cbba68ff
• ce421ab3db97f4b68d6e688c8ad5a6bafe82612d23df3257128433578c3caffb
• f5d2edbf1af6bf7db3f29e77a99883e39b5bc4ec483af4de47e8a75574248649
• fa8a4d544ffb3ca9d51448772f478f303602023e0cd70af4b9f85d3b72b4cd27