Обнаружена работа фишинговой панели, которую используют группировки ShinyHunters и BlackFile: под капотом атак

С августа прошлого года злоумышленники, приписываемые группировкам ShinyHunters и BlackFile, проводят гибридные кампании социальной инженерии. Их цели - сотни организаций из финансового сектора, сферы технологий, криптовалют, здравоохранения, гостиничного бизнеса и частной авиации. Атака начинается с телефонного звонка, в котором мошенник, подделывая номер техподдержки компании, убеждает жертву перейти по фишинговой ссылке. Обычно домен строится по шаблону вида my<название_компании>internal[.]com. На странице запускается механизм, который позволяет оператору в реальном времени управлять действиями жертвы: перехватывать введённые пароли, одноразовые коды из SMS или push-уведомлений, а затем угонять аутентифицированную сессию. После этого взломщики перемещаются по связанным облачным сервисам - SharePoint, Salesforce, DocuSign, Slack - и вымогают выкуп за неразглашение украденных данных.

Исследователи выявили несколько вариантов панели, центральной из которых является так называемая "Панель Доко" (Doko’s Panel), названная по псевдониму разработчика в Telegram. Эта панель позволяет атаковать пользователей Google, Microsoft Entra, Okta и популярных криптовалютных бирж. Её работа построена на клиентском JavaScript-файле, который каждую секунду отправляет на сервер запросы с данными о странице и браузере жертвы. Ответ сервера может перенаправить пользователя на подложную страницу ввода учётных данных или на страницу подтверждения многофакторной аутентификации (MFA). Примечательно, что в большинстве развёртываний панель не требует аутентификации для доступа к административному интерфейсу - любой, кто знает адрес, может увидеть журнал подключённых жертв и управлять ими.

Инструмент начал распространяться за пределы первоначальных операторов. Были найдены форки с собственными брендами: "Панель Лорда Менсиуса" (Lord Mensius's Panel), нацеленная на криптовалютную платформу Koinly, и панель под названием "$$$", имитирующая Австралийскую налоговую службу. Это свидетельствует о том, что исходный код попал в руки широкого круга киберпреступников, которые адаптируют его под свои нужды.

Особый интерес представляет вариант, который исследователи назвали "heartbeat/check_redirect". В нём клиентская часть отправляет два типа запросов: "сердцебиение" и проверку перенаправления. Причём из-за неаккуратного копирования функций один и тот же скрипт выполняется дважды - встроенным в HTML кодом и отдельным файлом. Такая избыточность указывает на низкую квалификацию разработчика, который, вероятно, использовал большую языковую модель (LLM) для модификации панели. Подтверждением служат многочисленные комментарии в коде, которые обычно не пишут люди: заголовки вроде "Заметки для следующей сессии" и подробные описания, типичные для диалога с нейросетью. Аналитики назвали этот феномен "виб-кодингом" - когда оператор, не понимая архитектуры, просто копирует сгенерированный нейросетью код, что ведёт к ошибкам и дублированию.

На основе анализа инфраструктуры и технических признаков выделены четыре основных кластера, которые, хотя и используют общее наследие панели, действуют независимо друг от друга. Кластер А совпадает с группировкой UNC6661 (по данным Mandiant), которой приписывают взломы, совершённые ShinyHunters. Он использует домены по шаблону my<цель>internal.com и хостинг Mevspace. Кластер B, ассоциируемый с BlackFile, применяет вариант heartbeat и регистрирует домены через Tucows с хостингом Njalla. Кластер C - вероятная эволюция кластера B, перешедшая на защиту Cloudflare Turnstile и поддомены с общими словами вроде "passkey" или "okta". Кластер D - недавний малоактивный вариант, использующий минифицированный код и хостинг Cloudflare.

В своём отчёте Push Security подчёркивает, что снижение порога входа в такие атаки делает их доступными даже для неопытных злоумышленников. Сочетание вишинга с ручным перехватом сессий обходит стандартные почтовые фильтры, а использование легитимных сервисов для размещения инфраструктуры затрудняет блокировку. Единственный надёжный способ защиты - обнаружение вредоносной страницы на конечном этапе цепочки, независимо от способа доставки ссылки. Организациям рекомендуется внедрять поведенческий анализ в браузере и обучать сотрудников распознавать звонки от якобы техподдержки с просьбой перейти по ссылке для "сброса пароля" или "обновления безопасности". Учитывая, что аналогичные кампании уже привели к утечкам десятков миллионов записей, игнорировать эту угрозу больше нельзя.

Domains

• 101201-coinspot.com
• 114028coinbase.com
• 114030coinbase.com
• 115029coinbase.com
• 118253gmail.com
• 118253-google.com
• 119271-coinbase.com
• 124521coinbase.com
• 124521-coinbase.com
• 156198google.com
• 158726trezor.com
• 178322coinbase.com
• 1984.is
• 201492coinbase.com
• 453433gmail.com
• 492798coinbase.com
• 53internal.com
• 551924google.com
• 612504kraken.com
• 72812coinbase.com
• 72825google.com
• 72830google.com
• 72850google.com
• 78261gemini.com
• 78355google.com
• 78382google.com
• 812577google.com
• 82153google.com
• 82166-gemini.com
• 82428-gemini.com
• 831955-binance.com
• 859825coinbase.com
• 912604kraken.com
• 93255coinbase.com
• 93255-coinbase.com
• 93255-gemini.com
• 946176kraken.com
• 992368google.com
• accoesinternal.com
• account-comcast.net
• account-ndax.com
• accounts-nexo.com
• activatemypasskey.com
• activatepasskey.com
• addoktapasskey.com
• adyeninternal.com
• adyensso.com
• aecominternal.com
• albertsonsinternal.com
• alliantenergyinternal.com
• alliantsso.com
• alnylamsso.com
• amazoninternal.com
• amgeninternal.com
• amplitudeinternal.com
• amwaterinternal.com
• amwayinternal.com
• aoshermaninternal.com
• app-eternl.io
• applovinsso.com
• arcbsso.com
• arvinasinternal.com
• atlassiansso.com
• atocalculation.com
• attcustomercare.net
• attcustomersupport.com
• avalonbayinternal.com
• avisonyounginternal.com
• awardcosso.com
• axoninternal.com
• ballinternal.com
• beachenergyinternal.com
• bettermentinternal.com
• binanapi-912512.com
• binanceus-okta.com
• bluelinxinternal.com
• brixmorsso.com
• brixmorssoo.com
• brookfieldsso.com
• calendlyinternal.com
• canforinternal.com
• carharttsso.com
• carvanasso.com
• cases-yahoo.com
• catchmeifyoucanfbi.com
• cengageinternal.com
• cengagesso.com
• cenovusinternal.com
• centerspacesso.com
• choicehotelsinternal.com
• cloverhealthsso.com
• cmsenergysso.com
• cnainsurancesso.com
• coinbasetest111.xyz
• coindesksso.com
• compassmineralsinternal.com
• cousinsinternal.com
• cozensso.com
• crowleyinternalized.com
• crowleysso.com
• csod-internal.com
• dnowinternal.com
• doitbestinternal.com
• drfirstsso.com
• drivenbrands-internal.com
• dropboxinternal.com
• encovainternal.com
• encovasso.com
• enrollms.com
• enrollokta.com
• enrollpasskey.com
• entratasso.com
• epicgamessso.com
• etaxsso.com
• fedexauth.com
• fedexmfa.com
• fedexpurpleid.com
• fedexuserauth.com
• finninginternal.com
• flocksafetyinternal.com
• flyexclusiveinternal.com
• foxrothschild-internal.com
• fullstoryinternal.com
• genesysinternal.com
• gileadinternal.com
• globusmedicalsso.com
• goeasyltdsso.com
• grandjxcvjc.com
• growmarksso.com
• guildmortgageinternal.com
• guildmortgagesso.com
• gustosso.com
• halliburtoninternal.com
• hannaholdinginternal.com
• hannaholdingsinternal.com
• hbfsso.com
• hearstinternal.com
• hendricksso.com
• henryscheinsso.com
• howardhughessso.com
• hubspotinternal.com
• hubspotsso.com
• icloudcases.com
• idokta.com
• intercominternal.com
• invenergyinternal.com
• ironmountaininternal.com
• ironmountainsso.com
• jackhenrysso.com
• jetbluesso.com
• jetexinternal.com
• jonesdayinternal.com
• kennedywilsonsso.com
• keyokta.com
• koinlylegal.io
• lambwestonsso.com
• learinternal.com
• legal-koinly.io
• lendleaseinternal.com
• libertymutualsso.com
• lineageinternal.com
• littelfuseinternal.com
• login-koinly.io
• lvmhinternal.com
• m1financesso.com
• macerichsso.com
• marainternal.com
• marcjacobsinternal.com
• marinemaxsso.com
• marinerinternal.com
• mastecinternal.com
• mercuryinsurancesso.com
• methanexinternal.com
• methodesso.com
• mfa-53.com
• mfa-fedex.com
• mfa-global-e.com
• mihomesinternal.com
• mixpanelinternal.com
• mnksso.com
• modecinternal.com
• modernasso.com
• morningstarsso.com
• morrisdicksonsso.com
• mspasskey.com
• murphyusainternal.com
• murphyusasso.com
• myabbvieinternal.com
• myacornsinternal.com
• myadyeninternal.com
• myadyensso.com
• myaffirminternal.com
• myamgensso.com
• myapolloiosso.com
• myaresmgmt.com
• myarmaninosso.com
• mybeehiiv.com
• mybettermentsso.com
• mybinance-okta.com
• mybiogeninternal.com
• myblackstonesso.com
• mydisneysso.com
• mydropboxinternal.com
• myxerointernal.com

SHA256

• 8a01bcb70ec1c101a163c9cb8e074781c1322096f7ae01789f02252854def44c
• 9c0939960e49122196e44b6779fe55dd7a13ab437ce251c8cf35f8c6daf8be21
• 9d65dd34384b441505e6b67647153c02d5c367bb53da36ce36a392e70b37940a
• c0df36ccf88d5c8434b13b58f7a55a9715643a126148b9d078a93075d09cad26
• cb1d409278b2247af23e7b00ac779b232baaf4ce5f63fdf5ebc3920a38cc6102
• d178dc7108fa9344dae28e350e810352e9e874563496dc7876ee628b11b0eabb
• e8128b33259f7ea4313c942689ba0ba557f17b1474f2e621c62a5b77674fab86
• f574b6e6b3a968cda5f51bec2c090d8eb095fbcfc383314f94bc15676a0d6692