Китайская группировка расширила свою деятельность на Ближний Восток

Компания Group-IB сообщает о новой волне мошенничества хакерской группировки, говорящей по-китайски и выдающей себя за государственные органы ОАЭ. Деятельность группировки, получившей название Postal Furious, была впервые задокументирована безопасниками в этом апреле.

Тогда её целью были пользователи Азиатско-Тихоокеанского региона. Хакеры выдавали себя за почтовые компании и операторов междугородной связи. Теперь Group-IB установила, что группировка расширила свою деятельность на ОАЭ.

В начале мая власти ОАЭ предупредили жителей страны о мошеннической кампании, в ходе которой злоумышленники выдавали себя за местного оператора дорожных сборов. Вторая мошенническая схема работала под видом почтовой службы. Центр сопротивления цифровым преступлениям Group-IB в Дубае смог причислить эту кампанию к деятельности Postal Furious.

Согласно данным расследования, жители ОАЭ получают фальшивые сообщения с просьбой срочно оплатить дорожные сборы, чтобы избежать дополнительных штрафов. Текстовые сообщения содержат сокращенный URL-адрес, чтобы скрыть настоящий фишинговый адрес. Как только пользователь нажимает на ссылку, он перенаправляется на поддельную платежную страницу. Цель мошенников — скомпрометировать платёжные данные пользователей. Кампания активна как минимум с 15 апреля 2023 года.

Вторая кампания была запущена 29 апреля. Мошенники использовали те же серверы для размещения другой сети фишинговых сайтов, но подражали почтовому оператору ОАЭ, а доставка ссылок на фишинговые ресурсы велась путём рассылки SMS. Текстовые сообщения отправлены с телефонных номеров, зарегистрированных в Малайзии и Таиланде, а также по адресам электронной почты через iMessage. Эта схема была обнаружена в отношении клиентов нескольких телекоммуникационных компаний ОАЭ.

URL-адреса из текстов ведут на поддельные платёжные страницы, на которых запрашиваются личные данные, такие как имя, адрес и информация о кредитной карте. Фишинговые страницы используют официальное название и логотип реального поставщика почтовых услуг.

Эксперты Group-IB отмечают, что фишинговые сайты используют методы контроля доступа, чтобы избежать автоматического обнаружения и блокировки. Доступ к страницам возможен только с IP-адресов в ОАЭ.

Безопасники приписали обе кампании китайско-язычной фишинговой сети, получившей кодовое название Postal Furious в начале 2023 года. Группировка действует, по крайней мере, с 2021-го. Она способна быстро создавать и менять крупные сетевые инфраструктуры, чтобы избежать обнаружения средствами безопасности.

Фишинговые ресурсы, которые работали в ОАЭ, имеют много общих элементов и кода, которые присутствуют в кампаниях Postal Furious, нацеленных на Азиатско-Тихоокеанский регион. Исходный код фишинговых сайтов, использованных в Арабских Эмиратах, содержал комментарии, написанные на упрощённом китайском языке, которые ранее были выявлены исследователями Group-IB во время изучения деятельности Postal Furious. Эксперты подчеркивают, что группировка каждый день регистрирует новые фишинговые домены, чтобы расширить свою деятельность.

1 июня, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.07.2025
«Национальный мессенджер» закрыл первый миллион
01.07.2025
МТС приготовила всем по маленькому «большому брату»
01.07.2025
NCSC заманивает компании к участию в программе, страдающей из-за недостатка интереса
30.06.2025
Всё связать до 1 июля: «симку», биометрию, «Госуслуги»
30.06.2025
Нейросетям поставили задачу усовершенствовать бюджетный процесс
30.06.2025
Draugnet послужит демократизации отчётности по киберугрозам
30.06.2025
Россиян превращают в дропперов особо изощрённым способом
30.06.2025
Банк России сдал нулевой срез по цифровому рублю
30.06.2025
Половина безопасников хочет приостановить развёртывание GenAI
27.06.2025
«Корыстные цели и низкий уровень правовой культуры». Телеком-лицензии — только в чистые руки

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных