Специалисты по кибербезопасности из Cado Security Labs (ныне в составе Darktrace) в ходе планового мониторинга выявили поддельный домен, имитирующий официальный корпоративный ресурс компании. Данный инцидент является частью более широкой кампании, нацеленной на ряд технологических организаций. Злоумышленники зарегистрировали доменное имя, схожее с оригинальным за счёт опечатки (так называемый типосквоттинг), и настроили перенаправление на легитимный сайт, чтобы усыпить бдительность жертв и повысить эффективность будущих атак.
Описание
Для выявления подобных угроз в Cado Security используется инструмент dnstwist, который генерирует варианты доменных имён на основе исходного и проверяет их регистрацию. При анализе домена cadosecurity.com было создано около 9000 вариаций, среди которых обнаружился свежезарегистрированный поддельный домен. Как правило, злоумышленники применяют такие методы, как добавление лишних символов, замену букв на визуально похожие цифры или использование символов из других алфавитов, например кириллицы.
Поддельный домен был зарегистрирован через сервис Apiname и указывал на IP-адрес 94.154.35.15. Анализ открытых источников показал, что аналогичным образом были скомпрометированы домены и других технологических компаний, что указывает на скоординированную кампанию. Кроме того, злоумышленники создали фальшивый аккаунт в X (ранее Twitter), имитирующий официальную страницу Cado, и даже приобрели золотую галочку верификации для придания видимости достоверности. Были также обнаружены поддельные аккаунты и для других целевых компаний.
В ответ на обнаруженную угрозу Cado Security оперативно предприняла ряд мер. Все сотрудники были уведомлены о ситуации и проинструктированы о необходимых действиях. Была внедрена блокировка электронных писем, поступающих с поддельного домена, что позволило предотвратить возможные фишинговые рассылки. Кроме того, активность была отправлена регистратору доменных имён, который приостановил действие вредоносного домена.
Подобные случаи подчеркивают важность проактивного мониторинга цифрового пространства и оперативного реагирования на угрозы. Раннее обнаружение поддельной инфраструктуры позволяет предотвратить потенциальные атаки до их реализации и минимизировать репутационные и финансовые риски. Эксперты напоминают, что безопасность организации зависит не только от технических специалистов, но и от осведомлённости каждого сотрудника, поэтому регулярное обучение и актуализация знаний о современных угрозах remain критически важными элементами защиты.
Индикаторы компрометации
IPv4
- 94.154.35.15
Domains
- 0penraven.com
- biaizetech.com
- cadosecurlty.com
- changeliy.com
- ciickup.com
- elliptlc.com
- miikroad.com
- ogiivy.com
- q0nt0.com
- raiiwayapp.com
- scrlb3.com
- sh0rtcut.com
- slgmaprime.com
- slnglegrain.com
- spndesk.com
- tlnulti.com
- twinmotlon.com
