Главная страница » Индикаторы компрометации
0
4 месяца
Индикаторы компрометации

Группа JavaGhost продолжает атаковать компании через уязвимости в облачных конфигурациях AWS

phishing

Группа злоумышленников JavaGhost, известная своей активностью в киберпространстве, продолжает использовать облачные среды для проведения фишинговых кампаний с целью финансового вымогательства. По данным экспертов Unit 42, исследовавших деятельность группировки, JavaGhost эксплуатирует ошибки в настройках облачных сервисов организаций-жертв, получая доступ к ключам AWS. Эти ключи позволяют злоумышленникам развертывать фишинговые атаки, маскируя их под легитимные письма от известных отправителей, что значительно повышает успешность атак.

Описание

Хотя деятельность JavaGhost не связана с уязвимостями самого AWS, она основана на недостаточной защищенности конфигураций облачных сред компаний. Это позволяет злоумышленникам получать учетные данные и использовать их для массовой рассылки фишинговых сообщений. В последние годы группа эволюционировала: если ранее она занималась дефейсами веб-сайтов, то теперь переключилась на более изощренные схемы, включая рассылку вредоносных писем через взломанные облачные сервисы.

Особенностью атак JavaGhost является использование передовых методов уклонения от обнаружения. Например, они активно применяют инфраструктуру AWS, что позволяет им обходить традиционные системы защиты электронной почты. Поскольку письма отправляются с доверенных доменов, почтовые фильтры часто пропускают их, считая безопасными. Это делает атаки особенно опасными, так как пользователи с большей вероятностью открывают такие сообщения и переходят по вредоносным ссылкам.

Эксперты Unit 42 выяснили, что JavaGhost использует чрезмерно широкие права IAM (Identity and Access Management) в AWS, что позволяет им получать доступ к критически важным учетным данным. Часто это происходит из-за небрежной настройки облачных сервисов: компании оставляют ключи доступа открытыми или используют слабые пароли, что делает их легкой добычей для киберпреступников. Получив контроль над облачной инфраструктурой, злоумышленники развертывают фишинговые кампании, рассылая письма, которые имитируют легитимные уведомления от банков, государственных учреждений или корпоративных сервисов.

Проблема усугубляется тем, что многие организации не уделяют достаточного внимания мониторингу активности в своих облачных средах. JavaGhost пользуется этой беспечностью, оставаясь незамеченными в течение длительного времени. Даже после обнаружения атаки восстановление может быть затруднено, так как злоумышленники успевают нанести значительный ущерб, включая кражу данных и финансовые потери.

Чтобы минимизировать риски, специалисты по кибербезопасности рекомендуют компаниям регулярно проверять настройки IAM, ограничивать права доступа по принципу минимальных привилегий и внедрять многофакторную аутентификацию. Также важно обучать сотрудников распознаванию фишинговых атак, поскольку даже самая надежная техническая защита может быть скомпрометирована из-за человеческого фактора.

Деятельность JavaGhost демонстрирует, насколько опасными могут быть ошибки в конфигурации облачных сервисов. В условиях роста числа атак через AWS и другие облачные платформы компаниям необходимо усилить меры защиты, чтобы не стать следующей жертвой киберпреступников. Игнорирование этих угроз может привести не только к финансовым потерям, но и к утрате доверия клиентов и партнеров.

Индикаторы компрометации

IPv4

  • 102.215.57.82
  • 103.178.2.52
  • 104.234.53.207
  • 104.234.53.208
  • 104.234.53.210
  • 104.234.53.211
  • 104.234.53.212
  • 104.234.53.213
  • 104.234.53.215
  • 104.234.53.216
  • 104.234.53.217
  • 104.234.53.219
  • 104.234.53.221
  • 104.234.53.223
  • 104.234.53.224
  • 104.234.53.225
  • 104.234.53.226
  • 109.166.49.185
  • 114.125.76.5
  • 128.199.219.23
  • 159.223.58.222
  • 173.239.204.177
  • 173.239.204.190
  • 173.239.204.191
  • 173.239.204.192
  • 173.239.204.193
  • 173.239.204.195
  • 173.239.211.113
  • 173.239.211.119
  • 173.239.211.139
  • 173.239.211.146
  • 173.239.211.35
  • 173.239.211.36
  • 173.239.211.37
  • 173.239.211.38
  • 173.239.211.39
  • 173.239.211.40
  • 173.239.211.41
  • 173.239.211.42
  • 173.239.211.43
  • 173.239.211.44
  • 173.239.211.45
  • 173.239.211.46
  • 173.239.211.47
  • 173.239.211.48
  • 173.239.211.49
  • 173.239.211.50
  • 173.239.211.51
  • 173.239.211.52
  • 173.239.211.53
  • 173.239.211.54
  • 173.239.211.55
  • 174.215.21.14
  • 180.249.154.162
  • 180.249.154.73
  • 180.251.238.103
  • 182.1.66.249
  • 182.1.73.253
  • 182.1.74.253
  • 182.1.84.253
  • 182.1.88.149
  • 182.1.88.42
  • 182.1.90.233
  • 182.1.94.225
  • 184.82.129.170
  • 185.238.231.106
  • 197.253.58.225
  • 197.253.58.226
  • 197.253.58.227
  • 197.253.58.228
  • 197.253.58.229
  • 199.101.196.67
  • 199.101.196.68
  • 199.101.196.79
  • 199.101.196.80
  • 208.95.72.30
  • 216.73.160.1
  • 216.73.160.12
  • 216.73.160.14
  • 216.73.160.15
  • 216.73.160.155
  • 216.73.160.158
  • 216.73.160.159
  • 216.73.160.16
  • 216.73.160.160
  • 216.73.160.161
  • 216.73.160.164
  • 216.73.160.165
  • 216.73.160.168
  • 216.73.160.170
  • 216.73.160.171
  • 216.73.160.172
  • 216.73.160.173
  • 216.73.160.2
  • 216.73.161.170
  • 217.142.185.26
  • 34.145.16.68
  • 36.72.153.32
  • 45.130.83.119
  • 45.130.83.131
  • 45.130.83.132
  • 45.130.83.133
  • 45.130.83.134
  • 45.130.83.137
  • 45.130.83.150
  • 45.130.83.238
  • 45.130.83.239
  • 45.130.83.240
  • 45.130.83.241
  • 45.130.83.242
  • 45.130.83.243
  • 45.130.83.244
  • 45.130.83.245
  • 45.130.83.246
  • 45.130.83.247
  • 45.130.83.248
  • 45.130.83.249
  • 45.130.83.250
  • 45.130.83.251
  • 45.8.19.101
  • 45.8.19.103
  • 45.8.19.104
  • 45.8.19.107
  • 45.8.19.108
  • 45.8.19.99
  • 45.92.229.203
  • 45.92.229.205
  • 45.92.229.206
  • 45.92.229.209
  • 45.92.229.212
  • 45.92.229.218
  • 45.92.229.220
  • 54.158.129.118
  • 63.135.161.110
  • 63.135.161.111
  • 63.135.161.112
  • 63.135.161.113
  • 63.135.161.114
  • 63.135.161.115
  • 63.135.161.116
  • 63.135.161.117
  • 63.135.161.118
  • 63.135.161.119
  • 63.135.161.120
  • 63.135.161.121
  • 63.135.161.122
  • 63.135.161.123
  • 63.135.161.129
  • 63.135.161.45
  • 63.135.161.46
  • 63.135.161.49
  • 63.135.161.51
  • 63.135.161.53
  • 63.135.161.54
  • 63.135.161.55
  • 63.135.161.56
  • 63.135.161.58
  • 63.135.161.59
  • 63.135.161.60
  • 63.135.161.61
  • 63.135.161.63
  • 63.135.161.64
  • 63.135.161.65
  • 63.135.161.68
  • 63.135.161.69
  • 63.135.161.71
  • 63.135.161.72
  • 63.135.161.73
  • 63.135.161.74
  • 63.135.161.75
  • 64.64.116.169
  • 85.237.194.218
  • 85.237.194.223
  • 85.237.194.231
  • 85.237.194.233
  • 85.237.194.237
  • 85.237.194.240
  • 85.237.194.249
  • 85.237.194.250
  • 86.48.10.113
  • 89.108.82.105
  • 94.131.106.251
  • 98.159.224.12
  • 98.159.224.13
  • 98.159.224.14
  • 98.159.224.15
  • 98.159.224.16
  • 98.159.224.60
  • 98.159.224.61
  • 98.159.224.62
  • 98.159.224.63
  • 98.159.224.64
  • 98.97.79.212
  • 98.97.79.246
Комментарии: 0
Похожие записи
0
28.02.2025
Индикаторы компрометации

Squidoor: Предполагаемый бэкдор китайского злоумышленника нацелен на глобальные организации

security
Начиная с марта 2023 года, предположительно китайский злоумышленник атакует государственные структуры, оборонные, телекоммуникационные, образовательные и авиационные секторы в Юго-Восточной Азии и Южной Америке.
0
19.08.2024
Индикаторы компрометации

Фишинговая атака под видом сельскохозяйственных велосоревнований: злоумышленники распространяют Havoc C2 через поддельный сайт WACC

security
Специалисты из Cyble Research and Intelligence Labs (CRIL) обнаружили новый фишинговый сайт, который тщательно копирует официальный ресурс Всемирных соревнований по сельскохозяйственному велоспорту (WACC).