Операция HookedWing: более четырёх лет скрытая фишинговая кампания поражала авиацию и госсектор

Злоумышленники использовали специально разработанный фишинговый набор (phishing kit) - набор инструментов для создания поддельных страниц и перехвата данных. Этот набор не привязан ни к одной известной хакерской группе. Его ключевая особенность - многолетняя ротация инфраструктуры при сохранении общих шаблонов. Как отмечается в отчёте SOCRadar, анализ логов с захваченных серверов управления (C2) выявил более двух тысяч жертв из пятисот компаний. Наиболее пострадали авиационный и транспортный сектор (около 28% жертв), государственные учреждения (16%) и энергетика (12%). В списке также логистика, финансы, телекоммуникации и производство.

Географическое распределение неслучайно. Основная масса пострадавших сосредоточена в странах Африки к югу от Сахары и Южной Азии - Нигерии, Непале, Уганде, Шри-Ланке, Сенегале. Такая концентрация совпадает с воздушными транспортными узлами, связывающими Западную и Восточную Африку с Персидским заливом, Южной и Юго-Восточной Азией. Это наводит на мысль, что атакующие целенаправленно охотились за данными, связанными с перемещением людей и грузов по стратегическим маршрутам.

С технической стороны операция построена на многослойной цепочке атак. Всё начинается с фишингового письма, которое маскируется под уведомления отдела кадров, сообщения Microsoft или Google. В письме содержится ссылка, ведущая на поддельную страницу, размещённую на легитимных платформах - преимущественно github.io, а также Vercel и on-fleek.app. Адрес электронной почты жертвы передаётся в ссылке после символа #, что позволяет избежать его попадания в логи GitHub. Страница имитирует загрузку Outlook или корпоративного портала. Пока жертва видит анимацию, в фоне выполняется JavaScript-код, который извлекает email из URL, запрашивает у сервера C2 имя организации и динамически внедряет форму для ввода учётных данных.

Форма никогда не хранится в статическом содержимом страницы - она подгружается с бэкенда в момент посещения. Это мощная техника обхода: статический анализ репозитория GitHub не выявляет вредоносного контента. В форме поле email предзаполнено и заблокировано для редактирования, что создаёт иллюзию, будто система уже узнала пользователя. Кроме того, с помощью общедоступного API ipdata.co собираются геолокационные данные жертвы (IP, страна, город, координаты), которые встраиваются в скрытые поля. Перед отправкой формы пользователь видит поддельное сообщение об ошибке "Учётная запись не существует", что провоцирует повторный ввод пароля - так злоумышленники получают более надёжную версию учётных данных.

Инфраструктура C2 также построена на компрометации легитимных серверов. Исследователи насчитали более двадцати различных доменов C2. Часть из них - взломанные серверы небольших компаний в Пакистане, Бразилии, Чили, Сенегале, Афганистане. Другие домены были зарегистрированы злоумышленниками с коротким сроком жизни (около трёх месяцев). Интересно, что один и тот же C2-сервер обслуживает одновременно несколько вариантов фишингового набора, различающихся визуальным оформлением и степенью сложности. Встречены как продвинутые копии порталов Microsoft Outlook с динамической инъекцией, так и более простые статические клоны страниц входа Azure AD или Adobe. Самая продвинутая версия использует API thum.io для создания реального скриншота сайта организации-жертвы и использует его как фон.

Анализ пострадавших организаций в авиационном секторе показывает, что злоумышленники интересовались не столько самими авиакомпаниями, сколько вспомогательной инфраструктурой: компаниями по наземному обслуживанию, кейтерингу, операторами аэропортов, разработчиками систем управления доходами и планирования полётов. Доступ к таким системам даёт потенциальную возможность получать информацию о движениях воздушных судов, грузовых манифестах, списках пассажиров и маршрутах. Сочетание жертв из госсектора (министерства иностранных дел, обороны, юстиции) и авиации усиливает гипотезу, что операция нацелена на сбор разведывательных данных о человеческом перемещении, включая дипломатические и правоохранительные маршруты.

Набор остаётся активным до сих пор. Его характерные признаки - использование пути /genl/ на сервере, переменной window.stef.srv_loc и идентификатора preloader_container_stef - позволяют связать множество разрозненных кампаний в одну операцию. Для защиты от подобных угроз организациям стоит внедрить многофакторную аутентификацию на всех критических сервисах, обучить сотрудников распознавать фишинговые письма с запросами на срочный вход в систему, а также регулярно мониторить внешние репозитории кода на предмет появления подозрительных страниц, имитирующих корпоративные порталы. Но главный вывод из отчёта SOCRadar - атаки такого уровня сложности и продолжительности требуют пересмотра подходов к защите не только корпоративной почты, но и всей операционной инфраструктуры авиационного и государственного секторов.

Domains

• archived-document-file-2026.github.io
• bc1qxy2kgdygjrsqtzq2n0yrf2493.github.io
• e578eb340bebd4fe6q.github.io
• excel-file-document-2024.github.io
• file-712.github.io
• google-file-document.github.io
• microsoft-file.github.io
• onedrive1-preview.github.io
• pdf-viewer-online.github.io

SHA256

• 557ff81c43c01b13c9743be96a19090aebec31f7104d77ea578b779b99bf4e4e
• 632705d808341aedb0f8ee2f1fa1e2d0a765e6373379111cb86cb9438407cb25