Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Многоязычные ZIP‑фишинговые кампании, нацеленные на организации Азии

3 мин
Исследователи обнаружили серию скоординированных фишинговых кампаний, нацеленных на организации в Азии — в частности на Тайване, Индонезии, Китае, Японии и других странах Юго‑Восточной Азии. Злоумышленники использовали многоязычные ловушки и архивы (ZIP и RAR), маскируя вредоносные полезные нагрузки под бюрократические уведомления, начисления заработной платы и налоговые документы. В общей сложности зафиксировано 28 уникальных страниц фишинга, разделённых на три языковые группы: Все инфраструктуры демонстрируют схожий дизайн и функциональность, что указывает на централизованную или повторно используемую платформу управления кампаниями. Унифицированный серверный интерфейс с использованием скриптов download.php и visitor_log.php предполагает автоматизированный механизм развертывания и адаптации фишинга по регионам. Атаки организованы по отработанной схеме: злоумышленники рассылали фишинговые ссылки или письма с призывом скачать архивы (ZIP/RAR). Внутри таких архивов скрывались исполняемы
Оглавление

Исследователи обнаружили серию скоординированных фишинговых кампаний, нацеленных на организации в Азии — в частности на Тайване, Индонезии, Китае, Японии и других странах Юго‑Восточной Азии. Злоумышленники использовали многоязычные ловушки и архивы (ZIP и RAR), маскируя вредоносные полезные нагрузки под бюрократические уведомления, начисления заработной платы и налоговые документы.

Краткая справка по масштабу и структуре

В общей сложности зафиксировано 28 уникальных страниц фишинга, разделённых на три языковые группы:

  • 12 страниц для китайской аудитории;
  • 12 страниц для англоязычной аудитории;
  • 4 страницы для японской аудитории.

Все инфраструктуры демонстрируют схожий дизайн и функциональность, что указывает на централизованную или повторно используемую платформу управления кампаниями.

Унифицированный серверный интерфейс с использованием скриптов download.php и visitor_log.php предполагает автоматизированный механизм развертывания и адаптации фишинга по регионам.

Технические детали и тактики злоумышленников

Атаки организованы по отработанной схеме: злоумышленники рассылали фишинговые ссылки или письма с призывом скачать архивы (ZIP/RAR). Внутри таких архивов скрывались исполняемые файлы или загрузчики, которые при запуске доставляли вредоносные полезные нагрузки.

Ключевые технические особенности кампаний:

  • Единая серверная логика и повторное использование инфраструктуры (один оператор или набор инструментов поддерживает множество кампаний).
  • Использование скриптов download.php и visitor_log.php для управления распространением и сбором данных о жертвах.
  • Обфускация через «безобидные» имена файлов, чтобы обойти почтовые шлюзы и веб‑фильтры.
  • Регистрация доменов с учётом региональной специфики доверия (.vip, .sbs, .xin и др.).
  • Соответствие приёмам, описанным в MITRE ATT&CK: разведка (reconnaissance) и фишинг для получения первоначального доступа.

Примеры задействованных доменов

Исследование отмечает множественные домены, которые неоднократно использовались в фишинговой активности. Среди упомянутых доменов — zxp0010w.vip (китайский контент), gjqygs.cn (англоязычный контент) и jpjpz1.cc (японский контент). Их повторные обнаружения в разные даты указывают на длительные и повторяющиеся попытки атак.

Цели и социальная инженерия

Целями были финансовые и государственные структуры, что делает ловы особенно опасными: сотрудники таких организаций более склонны открывать документы, связанные с оплатой, вознаграждениями или официальными сообщениями. Для повышения доверия злоумышленники использовали бюрократические формулировки и региональноориентированные тексты.

Рекомендации по защите и смягчению рисков

Для уменьшения рисков от подобных кампаний организациям рекомендуется принять комплекс мер:

  • Блокировать вновь выявленные вредоносные домены и IP‑адреса на уровне шлюзов и прокси.
  • Мониторить шаблоны именования и контент фишинговых страниц для обнаружения повторно используемых индикаторов.
  • Ограничить обработку и автоматическое выполнение исполняемых файлов и архивов (ZIP, RAR), особенно в контексте электронной почты.
  • Внедрить фильтрацию вложений на почтовых шлюзах и анализ на уровне sandboxes для подозрительных архивов.
  • Проводить регулярное обучение сотрудников: разъяснять опасности загрузки вложений, даже если они выглядят как официальные финансовые или налоговые уведомления.
  • Настроить процессы реагирования, чтобы оперативно удалять фишинговые страницы и уведомлять потенциальных жертв при обнаружении компрометации.

Вывод

Анализ показывает, что перед нами — тщательно продуманная, многоязычная и адаптивная кампания ZIP‑фишинга с повторным использованием инфраструктуры и регионально ориентированными ловушками. Комбинация автоматизированного развертывания, обфускации и целевых тематик (зарплаты, налоги, бюрократия) повышает вероятность успешной компрометации. Своевременные технические меры и повышение осведомлённости пользователей остаются ключевыми факторами защиты от этой сменяющейся угрозы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Многоязычные ZIP‑фишинговые кампании, нацеленные на организации Азии".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.