Найти в Дзене
CISOCLUB
11,5 тыс подписчиков

Кампания Tycoon: анализ фишинга через 850+ вредоносных доменов

3 мин
Расследование раскрывает масштабную и методичную кампанию фишинга, в центре которой — набор для фишинга Tycoon. Атака использовала скомпрометированную учетную запись для рассылки писем с фишинговым адресом и URL, нацеленных на использование защищенных ссылок электронной почты Cisco (Cisco secure links) с целью обхода мер безопасности. Аналитики провели поэтапную сортировку первоначального списка доменов, удалив поддомены и дубликаты. В результате методичной очистки было выделено 418 уникальных доменов, активно применявшихся для фишинга. Ключевым элементом аналитического подхода стало использование отличительных признаков HTML‑заголовков (HTML headers). Повторяющиеся хэши заголовков, обнаруженные на разных доменах, позволили расширить пул идентифицированных вредоносных ресурсов — более 850 доменов были связаны между собой на основании повторяющихся хэшей заголовков. «Это наблюдение предполагает, что фишеры активируют эти универсальные целевые страницы, когда их основные усилия по фишинг
Оглавление

Расследование раскрывает масштабную и методичную кампанию фишинга, в центре которой — набор для фишинга Tycoon. Атака использовала скомпрометированную учетную запись для рассылки писем с фишинговым адресом и URL, нацеленных на использование защищенных ссылок электронной почты Cisco (Cisco secure links) с целью обхода мер безопасности.

Краткая сводка инцидента

  • Изначально в кампании фигурировали свыше 1,900 доменов, использованных для рассылки фишинговых сообщений.
  • Атакующие применяли URL, нацеленные на эксплуатацию механизма защищённых ссылок Cisco, что позволяло обходить стандартные почтовые фильтры.
  • При доступе без соответствующего идентификатора перенаправления жертва попадала на чат‑бота с искусственным интеллектом, что использовалось для получения отличительного цифрового отпечатка страницы.

Как велось расследование

Аналитики провели поэтапную сортировку первоначального списка доменов, удалив поддомены и дубликаты. В результате методичной очистки было выделено 418 уникальных доменов, активно применявшихся для фишинга.

Ключевым элементом аналитического подхода стало использование отличительных признаков HTML‑заголовков (HTML headers). Повторяющиеся хэши заголовков, обнаруженные на разных доменах, позволили расширить пул идентифицированных вредоносных ресурсов — более 850 доменов были связаны между собой на основании повторяющихся хэшей заголовков.

Тактика злоумышленников

  • Перенаправление на чат‑бота без корректного redirect id — способ получения цифрового отпечатка страниц и выявления связанных доменов и инфраструктуры.
  • Использование общих шаблонов целевых страниц (fallback pages), которые активируются, когда основные фишинговые страницы не доступны или временно отключены.
  • Систематическое повторение тех же HTML‑заголовков и шаблонов на множестве доменов, что указывает на централизованную и организованную операцию.
«Это наблюдение предполагает, что фишеры активируют эти универсальные целевые страницы, когда их основные усилия по фишингу либо неактивны, либо временно приостановлены», — отмечают исследователи.

Значение обнаруженных индикаторов

Выявленные механизмы дают расследователям несколько преимуществ:

  • Хеши HTML‑заголовков и отличительные элементы страниц служат надежными «сигнатурами» для поиска связанных доменов и инфраструктуры.
  • Универсальные целевые страницы (fallback templates) демонстрируют оперативную гибкость злоумышленников и их готовность поддерживать минимальный уровень активности при сбоях основной кампании.
  • Использование Cisco secure links в качестве вектора обхода указывает на попытки эксплуатировать доверенные механизмы доставки почты для повышения доли успешных кликов.

Практические рекомендации

На основании результатов расследования рекомендуется:

  • Блокировать и срочно удалять обнаруженные домены и поддомены, а также информационные шаблоны, связанные с Tycoon.
  • Использовать детекцию по HTML‑header hashes и fingerprinting для обнаружения дополнительных связанных доменов.
  • Усилить контроль за поведением механизмов защищённых ссылок (Cisco secure links) и валидацию redirect id в корпоративных почтовых шлюзах.
  • Проводить обучение сотрудников по распознаванию фишинговых писем и незваных ссылок, особенно при появлении нетипичных редиректов или неожиданных форм ввода учетных данных.

Вывод

Кампания Tycoon демонстрирует высокий уровень организованности и адаптивности: злоумышленники комбинируют эксплуатацию доверенных механизмов (Cisco secure links), масштабное использование доменной инфраструктуры и технику fingerprinting через редиректы на chatbot/AI‑страницы для расширения своего охвата. Комбинация методичной аналитики и оперативных мер по блокировке доменов и детектированию по HTML‑сигнатурам позволяет значительно осложнить операционную деятельность таких кампаний и сократить число успешных компрометаций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Кампания Tycoon: анализ фишинга через 850+ вредоносных доменов".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.