Облачные платформы и сервисы для быстрого развертывания приложений стали для киберпреступников не только инструментом для создания фишинговых страниц, но и частой причиной собственных провалов. Очередной пример вопиющей небрежности продемонстрировала группа, специализирующаяся на краже учётных данных у южнокорейских пользователей и компаний. Расследование, начавшееся с обнаружения одной фишинговой страницы, привело к раскрытию целой инфраструктуры, которая оказалась полностью открыта для просмотра из-за отключённых базовых мер безопасности на сервере. Эта история наглядно показывает, как простота развертывания в современных условиях часто приводит к фатальным ошибкам в конфигурации, которые могут свести на нет все усилия злоумышленников.
Описание
Инцидент начался с фишинговой страницы, размещённой на платформе Vercel по адресу "curly-spoon-sigma[.]vercel[.]app". Страница имитировала интерфейс входа в Naver - крупнейший южнокорейский портал, объединяющий поиск, почту и электронную коммерцию. Введённые жертвами логины и парши передавались через AJAX-запрос в кодировке base64 на сервер "arnptec[.]com", в скрипт "/team24/nvvvr/mab/send.php". Именно анализ этого сервера привёл к неожиданному открытию. Как сообщили исследователи, на целевом веб-сервере была включена индексация директорий, отсутствовала какая-либо аутентификация и не применялись ограничения через файл ".htaccess". В результате вся структура папок оказалась доступна для свободного просмотра любому, кто перешёл по адресу.
В корневой директории "/team24/" обнаружилось десять подпапок, названных, по всей видимости, по оперативным псевдонимам: "alfred", "brian", "bsktdrp", "ethan", "gates", "jeremy", "kk", "mab", "stv" и "stvcooper". Каждая папка содержала фишинговые наборы, скрипты для сбора данных и файлы, связанные с конкретными кампаниями. Параллельно существовало второе дерево каталогов по пути "/fresh/", которое выполняло роль репозитория шаблонов - там хранились чистые копии фишинговых наборов, готовые к быстрому развёртыванию. Такая структура указывает на хорошо организованный синдикат, где несколько операторов работают на общей инфраструктуре, но ведут собственные кампании. Оператор под именем "mab" оказался ответственным за страницу на Vercel, с которой началось расследование. Его скрипт "send.php" принимал похищенные учётные данные, которые, вероятно, затем перенаправлялись в Telegram-бота или на почтовый ящик.
Анализ содержимого папок позволил определить специализацию каждого оператора и ключевые цели атак. Фокус синдиката практически полностью сосредоточен на южнокорейском цифровом пространстве. Помимо Naver, целью становились Daum/Kakao (второй по величине портал и мессенджер), платформа для электронной коммерции Cafe24, ERP-система eCount, а также сервис для передачи файлов WeTransfer. Отдельные операторы работали с фишингом для сервисов WHOIS, корпоративной почты и проводили целевые атаки на бизнес. Подобная географическая и тематическая направленность может указывать как на деятельность известной группировки Kimsuky (также известной как APT43), связанной с северокорейскими спецслужбами, так и на финансово мотивированный киберпреступный синдикат, работающий на корейском языке. Примечательно, что выбранные псевдонимы операторов - западные имена, что может говорить либо об английском языке общения внутри группы, либо о сознательном принятии таких алиасов.
Технический анализ фишинговых наборов выявил применение тактики "двойного нажатия" для сбора паролей. После ввода пароля жертве показывалось сообщение об ошибке, будто пароль неверен, что вынуждало пользователя ввести его повторно. Оба введённых значения перехватывались и отправлялись злоумышленникам. Этот метод эффективно компенсирует возможные опечатки при быстром первом вводе, гарантируя, что второй, более внимательный ввод, почти всегда будет правильным и попадёт в руки преступников. Изучение временных меток файлов на сервере показало, что активность синдиката продолжается как минимум с апреля 2024 года. Страница "curly-spoon-sigma" на Vercel является лишь последним звеном в цепочке: два предыдущих проекта на этой же платформе, "crispy-fortnight-mocha" и "scaling-octo-chainsaw", были отключены, вероятно, после жалоб о нарушении правил. Операторы просто создают новые проекты, когда старые оказываются скомпрометированы.
Этот случай - классический пример того, как пренебрежение базовыми принципами безопасности сводит на нет сложность всей операционной деятельности. Группа, способная вести скоординированные фишинговые кампании на протяжении двух лет, допустила фундаментальную ошибку, оставив свою бэкенд-инфраструктуру полностью открытой. Для специалистов по безопасности эта история служит напоминанием о критической важности аудита конфигурации любых публично доступных серверов, включая проверку отключения индексации директорий и настройки строгого контроля доступа. Для бизнеса, особенно ориентированного на азиатские рынки, инцидент подчёркивает постоянную угрозу целевого фишинга против популярных локальных сервисов, где традиционные меры защиты, натренированные на глобальных платформах, могут оказаться менее эффективными.
Индикаторы компрометации
IPv4
- 209.74.67.102
- 216.198.79.67
- 64.29.17.67
Domains
- arnptec.com
- btw777.org
- crispy-fortnight-mocha.vercel.app
- curly-spoon-sigma.vercel.app
- scaling-octo-chainsaw.vercel.app
URLs
- arnptec.com/fresh/
- arnptec.com/team24/
- arnptec.com/team24/nvvvr/mab/send.php
SHA256
- b7de02112b75c3a4484fd6d2e3859186a529bf5809397997fc41a5e555fe5163
