Крупная фишинговая кампания в Азии использует многоязычные шаблоны и автоматизированную инфраструктуру

Исследование, проведенное с использованием платформы Hunt.io и специализированных наборов данных AttackCapture и HuntSQL, позволило выявить взаимосвязи между многоязычными фишинговыми страницами в разных регионах. С помощью HuntSQL-based pivoting (метода поиска взаимосвязей на основе HuntSQL) были идентифицированы несколько взаимосвязанных кластеров, показывающих, как злоумышленники повторно используют одни и те же веб-компоненты в разных языках, включая китайский, японский и английский.

Основные выводы исследования включают выявление 28 веб-страниц, распределенных по трем кластерам с общим дизайном и функционалом. Общая бэкенд-логика с использованием скриптов download.php и visitor_log.php указывает на автоматизированное развертывание. Сегментация по языкам демонстрирует целевую адаптацию для аудиторий из Китая, Японии и стран Юго-Восточной Азии. Наблюдается сдвиг от локализованных к многонациональным атакам, с расширением географии целевых стран.

Злоумышленники последовательно используют архивы ZIP/RAR в качестве приманки, маскируя их под бюрократические, финансовые и налоговые документы. Имена файлов, такие как "稅務電子發票名單.rar" (список налоговых накладных) или "NoticeofEmployeePositionAdjustment.zip" (уведомление о корректировке должности сотрудника), предназначены для обмана пользователей в корпоративной и государственной сферах. Единообразная структура страниц, включая динамическое получение информации о файлах через download.php и логирование посетителей через visitor_log.php, указывает на использование единого набора инструментов или автоматизированного конструктора.

Инфраструктура кампании демонстрирует признаки повторного использования, включая хостинг на одном провайдере, Kaopu Cloud HK Limited, и применение доменов в зонах .vip, .sbs, .cc и других. Анализ связанных IP-адресов выявил их распределение по различным регионам, включая Гонконг, Сингапур, Японию, Таиланд и Камбоджу, что подчеркивает географическую масштабность операции.

Данная кампания вписывается в контекст ранее документированных фишинговых атак в регионе. Так, в начале 2025 года FortiGuard Labs сообщали о многостадийной операции, развившейся от распространения Winos 4.0 на Тайване до дистрибуции семейства вредоносных программ HoldingHands по всей Восточной и Юго-Восточной Азии. Изначально фишинговые письма, маскирующиеся под Министерство финансов Тайваня, доставляли вредоносные PDF-файлы со встроенными ссылками. Со временем злоумышленники перешли от облачного хостинга к использованию кастомных доменов с региональными маркерами.

Для противодейства подобным угрозам эксперты рекомендуют проактивно блокировать выявленные домены и отслеживать появление новых с похожими шаблонами именования. Организациям следует настраивать почтовые шлюзы для детектирования архивных вложений с тематическими именами, связанными с кадрами, налогами или финансами. Важным элементом защиты является ограничение возможности выполнения скриптов или файлов из архивов, полученных по электронной почте. Повышение осведомленности пользователей о фишинге и методах социальной инженерии также играет ключевую роль.

Выявление этой многоязычной кампании подчеркивает растущую изощренность киберпреступников, использующих автоматизацию и адаптацию под локальные особенности для повышения эффективности атак. Понимание структуры и механизмов таких операций позволяет организациям укреплять свою оборону и противодействовать угрозам на ранних стадиях.

IPv4

• 103.127.219.148
• 154.205.139.195
• 154.205.139.223
• 38.54.1.105
• 38.54.1.23
• 38.54.107.103
• 38.54.107.195
• 38.54.119.194
• 38.54.16.25
• 38.54.16.254
• 38.54.17.132
• 38.54.17.167
• 38.54.17.174
• 38.54.50.212
• 38.54.88.103
• 38.54.88.44
• 38.60.199.26

Domains

• cq1tw.icu
• cq1tw.top
• gjqygs.cn
• jpjpz1.cc
• jpjpz1.top
• jpjpz1.vip
• jppjp.vip
• qiqi1.xin
• twmm.shop
• twsw.cc
• twsww.xin
• twswzz.icu
• twswzz.xin
• vip.gaelh.cn
• xinwenwamg.net
• z2tw.vip
• z2tw.xin
• zcqiyess.vip
• zxp0010w.vip

URLs

• http://199cb150cec25af3132ddd4e47b37248.bulinouui.sbs
• http://27160fcce1e199401dde5e01ce829006.ttcskhdl.lol
• http://3381536ffe13739277b0a87c08a66596.bulinouui.sbs
• http://53d9da1f7632f687dde3b0ec4df00710.bulinouui.sbs
• http://twmm.shop
• http://twswzz.icu
• http://twswzz.xin
• http://www.wojkejys.lat
• https://11c979baeb8bddc12e79ad4def0964e94.bulinouui.sbs
• https://5289c03d6d33ac4cf474de436f6bbf47.bulinouui.sbs
• https://6358bdf15f655e7e305eacaf385cd12.bulinouui.sbs/?1d794ebf8cc16e0770adc215e34d26a0
• https://cq1tw.icu/index.html
• https://cq1tw.top/index.html
• https://jpjpz1.top/index.html
• https://jpjpz1.vip
• https://qiqi1.xin/index.html
• https://twsw.cc/download.html
• https://twsww.xin/index.html
• https://vip.gaelh.cn
• https://www.bulinouui.sbs
• https://xinwenwamg.net/index.html
• https://z2tw.vip/index.html
• https://z2tw.xin

• Эволюция угроз: одна хакерская кампания последовательно атаковала четыре страны
• Киберпреступники из Silver Fox используют фишинговые атаки для распространения бэкдора Holding Hands 4.0