Operation HookedWing — это стойкая и сложная phishing campaign, которая ведётся с 2022 года и по настоящее время. Она нацелена на широкий круг отраслей, включая aviation, government administration, energy и critical infrastructure. По оценке аналитиков, кампания уже скомпрометировала более 2500 unique credentials из более чем 500 organizations, что говорит о её масштабе и высокой результативности.
Собственный phishing kit и высокая адаптивность
Ключевая особенность Operation HookedWing — использование собственного phishing kit, который не был связан ни с одним известным threat actor. Это указывает на высокий уровень адаптивности, технической изобретательности и, вероятно, значительные ресурсы, доступные злоумышленникам.
В отличие от массовых и шаблонных схем, HookedWing демонстрирует целенаправленный подход: атаки строятся не вокруг случайных жертв, а вокруг стратегически значимых организаций и функций.
Как работает атака
Методология кампании включает рассылку phishing emails, которые часто маскируются под сообщения на темы, связанные с HR, Microsoft или Google. Получателей перенаправляют на fake login pages, размещённые преимущественно на платформах вроде github.io и Vercel.
После перехода по ссылке жертва видит экран загрузки, а затем — вредоносную форму ввода данных. Она не только собирает usernames и passwords, но и может запрашивать:
- геолокационные данные;
- дополнительную contextual information о жертве;
- сведения, повышающие точность и ценность последующей кражи данных.
Особую опасность представляет техника obfuscation: злоумышленники используют dynamically generated landing page, которая имитирует функциональность Microsoft Outlook. При этом сама форма для credential harvesting не хранится на слое распространения и загружается динамически уже в браузере жертвы.
Двухслойная инфраструктура
Инфраструктура Operation HookedWing состоит из двух основных слоёв.
- Distribution layer — статические страницы, которые выглядят безобидно и размещаются на reputable platforms, чтобы снизить подозрения и избежать блокировок со стороны security tools.
- Backend layer — compromised servers, которые обрабатывают exfiltration захваченных данных.
Такой подход позволяет атакующим разделять видимую часть операции и её вредоносный функционал, усложняя расследование и затрудняя выявление по статическим признакам.
Почему кампания сложна для обнаружения
Атакующие постоянно ротируют инфраструктуру, сохраняя основные patterns, но диверсифицируя phishing tactics. Дополнительно они применяют advanced evasion strategies, включая динамическое выполнение JavaScript в браузерах жертв для подгрузки вредоносной формы.
Это означает, что статические средства анализа часто не видят вредоносный контент, если он не исполняется в live environment. На практике это повышает живучесть кампании и снижает вероятность её своевременного обнаружения.
«Сама форма для сбора учётных данных никогда не находится на самом слое распространения», — следует из логики атаки, описанной в отчёте.
Приоритетные цели: авиация и государственный сектор
Анализ recovered logs показал, что кампания придерживается структурированного шаблона targeting, а не действует хаотично. Основной интерес злоумышленников сосредоточен на high-value и strategically significant sectors.
Наиболее заметная доля жертв относится к:
- aviation;
- government organizations;
- связанным с ними операционным и административным системам.
Такой фокус может указывать на стремление получить доступ не только к конфиденциальной информации, но и к operational capabilities организаций.
Подготовка писем и повышение доверия
Одна из характерных деталей HookedWing — использование existing email databases для предварительного заполнения phishing URLs адресами электронной почты жертв. Это повышает perceived legitimacy атаки: получатель видит страницу, уже «знающую» его данные, и с большей вероятностью доверяет ей.
Именно сочетание социальной инженерии, технической обфускации и постоянной ротации инфраструктуры делает Operation HookedWing особенно устойчивой.
Что означает HookedWing для кибербезопасности
Долгосрочный характер и стратегическая направленность кампании свидетельствуют о том, что злоумышленники располагают значительными ресурсами и имеют далеко идущие намерения. Это вызывает опасения не только по поводу кражи credentials, но и возможного unauthorized use данных за пределами непосредственной атаки.
Operation HookedWing наглядно показывает, как современные phishing tactics объединяют:
- технически сложную инфраструктуру;
- динамическое исполнение контента;
- социальную инженерию;
- понимание организационных структур в целевых секторах.
В результате возникает кампания, которая способна долго оставаться активной, масштабироваться и адаптироваться к мерам защиты, сохраняя высокий уровень эффективности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "HookedWing: многолетняя фишинговая операция против критических отраслей".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.