Российская хакерская группа Laundry Bear продолжает атаки на организации НАТО и Украину: новые данные о методах и инфраструктуре

В фокусе злоумышленников оказались полиция Нидерландов, украинские авиационные организации, а также европейские и американские НКО. Аналитики отмечают, что Laundry Bear активно использует поддельные домены, имитирующие легитимные сервисы, такие как Microsoft Online. Например, домены micsrosoftonline[.]com и outlook-office[.]micsrosoftonline[.]com применялись для фишинговых атак с целью кражи учетных данных.

Особый интерес представляет инфраструктура группы. Исследователи обнаружили, что домены, используемые Laundry Bear, регистрируются через анонимные сервисы, такие как PDR Ltd., а для управления DNS часто применяются популярные платформы, включая Cloudflare и Mailgun. Это усложняет отслеживание и блокировку вредоносной активности. Например, домен ebsumrnit[.]eu, зарегистрированный в апреле 2025 года, имитировал сайт European Business Summits (ebsummit[.]eu) и использовался для рассылки фишинговых писем.

Дополнительный анализ показал, что злоумышленники создают целые сети поддельных доменов, связанных друг с другом через общие IP-адреса и сертификаты. Так, домен enticator-secure[.]com, который также фигурировал в предыдущих атаках, перенаправлял жертв на страницу "GlobalShip Logistics" в июле 2025 года. Этот же IP-адрес (104.36.83[.]170) использовался для управления другими доменами, включая walshhgroup[.]com, который является подделкой сайта американской компании Walsh Group.

Еще одним важным аспектом тактики Laundry Bear стало использование JavaScript-редиректов на легальные сервисы, такие как outlook.live.com и login.live.com. Это позволяло группе маскировать фишинговые страницы под официальные ресурсы Microsoft. Подобные техники были замечены на множестве доменов, включая maidservant[.]shop и it-sharepoint[.]com, которые активно использовались с ноября 2024 года.

Эксперты отмечают, что Laundry Bear продолжает развивать свою инфраструктуру и адаптироваться к изменениям в системах защиты. Использование временных доменов, частые смены IP-адресов и применение легитимных сервисов для рассылки писем делают группу особенно устойчивой к обнаружению. В ближайшее время можно ожидать новых атак, направленных на государственные учреждения и коммерческие организации в Европе и Северной Америке.

Исследователи продолжают мониторинг активности Laundry Bear, чтобы выявлять новые домены и методы работы группы. Однако, учитывая сложность их инфраструктуры и использование анонимизирующих технологий, борьба с этой угрозой остается серьезным вызовом для кибербезопасности.

IPv4

• 104.168.144.21
• 154.216.18.83
• 170.64.163.105
• 170.64.209.129
• 176.97.124.54
• 3.126.53.226
• 3.64.201.107
• 34.204.123.157
• 5.230.36.62
• 52.78.180.48
• 54.144.139.77
• 54.167.184.45
• 64.226.126.33
• 64.23.244.176

Domains

• aoc-gov.us
• app-v4-mybos.com
• avsgroup.au
• bidscale.net
• defraudatubanco.com
• deloittesharepoint.com
• ebsum.eu
• ebsumlts.eu
• ebsummlt.eu
• ebsummt.eu
• ebsumrnit.eu
• ebsurnmit.eu
• enticator-secure.com
• it-sharepoint.com
• m-365-app.com
• maidservant.shop
• mail-forgot.com
• max-linear.com
• microffice.org
• micsrosoftonline.com
• miscrsosoft.com
• myspringbank.com
• ourbelovedsainscore.space
• portal-microsoftonline.com
• propescom.com
• redronesolutions.cloud
• refundes.net
• remerelli.com
• spidergov.org
• teamsupportonline.top
• weblogmail.live
• x9a7lm02kqaccountprotectionaccountsecuritynoreply.com