Группа хакеров, известная под обозначением UTG-Q-1000 и связанная с вредоносным ПО Silver Fox, переключила внимание на семьи, ожидающие государственные выплаты на детей. Эксперты центра киберразведки QiAnXin обнаружили, что злоумышленники создали масштабную фишинговую кампанию, имитирующую официальные порталы для оформления субсидий.
Описание
Преступники, ранее атаковавшие корпоративный сектор, теперь используют социальную инженерию для кражи банковских данных граждан. Они регистрируют поддельные домены, распространяют QR-коды через компрометированные аккаунты в мессенджерах и создают многоуровневые схемы обхода защиты.
Одной из особенностей атаки является сложная система обфускации: настоящий фишинговый URL скрыт в изображении и извлекается после XOR-дешифровки с ключом «YourSecretKey123!@#». Это позволяет избежать detection based on static analysis.
Атакующие используют членскую систему для отслеживания эффективности своих кампаний. Каждый QR-код содержит идентификатор участника группы, что позволяет точно определять источник трафика. На момент анализа одна из учётных записей - ylxuqxmz - уже успела собрать данные 113 жертв.
Вредоносная инфраструктура включает несколько серверов, на которых размещены поддельные формы с проверкой вводимых данных. Жертв просят указать ФИО, номер паспорта, банковскую карту, пароль и даже остаток на счете. Для ввода пароля используется кастомная клавиатура, чтобы избежать перехвата системными средствами защиты.
Если злоумышленникам не удается сразу обналичить средства, они перенаправляют жертв на страницы с повторным вводом данных или требованием отправи SMS на определённый номер - вероятно, для разблокировки аккаунта или перехвата кодов подтверждения.
Помимо фишинговых сценариев, группа использует многоступенчатые загрузчики, легитимное ПО для удаленного управления (включая коммерческие решения вроде WorkWin и IP-Guard), а также инструменты для извлечения и анализа чатов из WeChat. Это указывает на высокую степень профессионализации и разделения ролей внутри группировки.
QiAnXin рекомендует пользователям избегать перехода по ссылкам из непроверенных источников, не запускать подозрительные вложения и использовать песочницу для анализа подозрительных файлов. Продукты компании, включая платформы Threat Intelligence Platform (TIP) и NGSOC, уже содержат сигнатуры для детектирования данной активности.
Таким образом, UTG-Q-1001 демонстрирует не только техническую изощренность, но и способность быстро адаптироваться к социальным и политическим событиям, используя их в качестве приманки для атак на широкие слои населения.
Индикаторы компрометации
IPv4
- 43.132.222.128
URLs
- http://houtai4jian.fjhpdjt.cn
- http://snto-cn.com
- http://whlq89621549.com
- https://bmppc.cn
- https://gootk-1328636939.cos.ap-guangzhou.myqcloud.com
- https://jnscx.com
MD5
- 4267e6d9ee6c409b2cb5d3a1b0b0a270
- 7759e77e6a523fda149792c9346b9eef
