Почему они не остановили 48 тысяч фишинговых хостов?
Группа Deep Specter Research многоуровневую схему фишинга и имитации брендов, годами незаметно работавшую на инфраструктуре Google Cloud и Cloudflare. Согласно исследованию, злоумышленники массово скупали забытые и просроченные домены, наполняли их копиями сайтов крупных компаний и прятали нелегальный контент за «чистыми» версиями страниц для поисковых роботов. Авторы настаивают, что платформы получали сигналы об активности, но мер не приняли, что создаёт риск трактовки как «осознанного игнорирования» и оборачивается для вовлечённых компаний регуляторными последствиями по GDPR, DMCA и линии FTC.
В числе целей названа Lockheed Martin. По данным отчёта, домен militaryfighterjet.com потерял владельца в сентябре 2024-го и уже 16 сентября начал отдавать страницу «168 Lottery Results» при прямом заходе с десктопа, тогда как с мобильных устройств выдавалась копия сайта Lockheed Martin с разделами для сотрудников и партнёров. Такое расслаивание контента — клоакинг: скрипты по User-Agent и другим признакам подменяют страницу для ботов и реальных пользователей. В исходниках исследователи увидели следы HTTrack с меткой Mon, 16 Sep 2024 19:45:00 GMT; отвечающий IP обслуживал сотни доменов и принадлежит Google Cloud. О выявленном уведомлялись и вендор, и правообладатель.
Авторы картировали всю платформу и насчитали 86 физических адресов в Google Cloud (регионы Гонконг и Тайвань), вокруг которых развернуто порядка 44 000 виртуальных IP на GCP и ещё около 4 тысяч — у сторонних хостеров; 8 узлов выступают верхним уровнем управления, 78 — рабочие кластеры. Подмена затрагивает не менее 200 организаций из разных отраслей — от оборонки и здравоохранения до нишевых форумов; набор доменов подбирается под тематику жертвы, из-за чего, например, militaryfighterjet.com оказался «прикручен» к lockheedmartin.com. Часть клонов продолжает подтягивать ресурсы с облаков законного владельца (шрифты, логотипы, аналитика), что создаёт парадокс: бренд непреднамеренно обслуживает злоумышленника и может обнаружить клон по заголовкам запросов к внешним объектам.
Наблюдаемая активность тянется минимум с 2021 года и проходила всплесками: рекордный квартал фишинга пришёлся на конец 2022-го; в мае 2023-го, на фоне кампаний вокруг MOVEit, фиксировался кратный рост видимых узлов; в марте 2025-го — новый пик на фоне других инцидентов в экосистеме. Исследование связывает подобные проекты с трафиком из Google, Meta* и Android-приложений и указывает на корреляции с вредоносными кампаниями. Крупнейший «пул» клонов одной организации, по оценке авторов, достигает почти 6 000 виртуальных хостов. Несмотря на масштаб, порядка тысячи из 48 000 узлов используют HTTPS. Для части наблюдались TLS-отпечатки, совпадающие с профилями серверов управления семейства Sliver.
Суммарно Deep Specter Research говорит более чем о 48 тысячах хостов и свыше 80 кластеров, о десятках тысяч наблюдений за 2021–2025 годы и о сотнях публичных индикаторов, на которые, по их словам, не последовало реакции. Исследователи полагают, что речь идёт о сервисе фишинга индустриального уровня с унифицированным стеком управления и клоакинга. С их точки зрения, поставщики инфраструктуры, через которые проходит значительная часть интернета, должны жёстче отслеживать злоупотребления, а крупные бренды — вроде Lockheed Martin — выстраивать непрерывный мониторинг копий и быструю правовую и техническую реакцию, чтобы пресекать подмену, краудинг нелегального контента и угон доверия пользователей.
Подробнее:
Группа Deep Specter Research многоуровневую схему фишинга и имитации брендов, годами незаметно работавшую на инфраструктуре Google Cloud и Cloudflare. Согласно исследованию, злоумышленники массово скупали забытые и просроченные домены, наполняли их копиями сайтов крупных компаний и прятали нелегальный контент за «чистыми» версиями страниц для поисковых роботов. Авторы настаивают, что платформы получали сигналы об активности, но мер не приняли, что создаёт риск трактовки как «осознанного игнорирования» и оборачивается для вовлечённых компаний регуляторными последствиями по GDPR, DMCA и линии FTC.
В числе целей названа Lockheed Martin. По данным отчёта, домен militaryfighterjet.com потерял владельца в сентябре 2024-го и уже 16 сентября начал отдавать страницу «168 Lottery Results» при прямом заходе с десктопа, тогда как с мобильных устройств выдавалась копия сайта Lockheed Martin с разделами для сотрудников и партнёров. Такое расслаивание контента — клоакинг: скрипты по User-Agent и другим признакам подменяют страницу для ботов и реальных пользователей. В исходниках исследователи увидели следы HTTrack с меткой Mon, 16 Sep 2024 19:45:00 GMT; отвечающий IP обслуживал сотни доменов и принадлежит Google Cloud. О выявленном уведомлялись и вендор, и правообладатель.
Авторы картировали всю платформу и насчитали 86 физических адресов в Google Cloud (регионы Гонконг и Тайвань), вокруг которых развернуто порядка 44 000 виртуальных IP на GCP и ещё около 4 тысяч — у сторонних хостеров; 8 узлов выступают верхним уровнем управления, 78 — рабочие кластеры. Подмена затрагивает не менее 200 организаций из разных отраслей — от оборонки и здравоохранения до нишевых форумов; набор доменов подбирается под тематику жертвы, из-за чего, например, militaryfighterjet.com оказался «прикручен» к lockheedmartin.com. Часть клонов продолжает подтягивать ресурсы с облаков законного владельца (шрифты, логотипы, аналитика), что создаёт парадокс: бренд непреднамеренно обслуживает злоумышленника и может обнаружить клон по заголовкам запросов к внешним объектам.
Наблюдаемая активность тянется минимум с 2021 года и проходила всплесками: рекордный квартал фишинга пришёлся на конец 2022-го; в мае 2023-го, на фоне кампаний вокруг MOVEit, фиксировался кратный рост видимых узлов; в марте 2025-го — новый пик на фоне других инцидентов в экосистеме. Исследование связывает подобные проекты с трафиком из Google, Meta* и Android-приложений и указывает на корреляции с вредоносными кампаниями. Крупнейший «пул» клонов одной организации, по оценке авторов, достигает почти 6 000 виртуальных хостов. Несмотря на масштаб, порядка тысячи из 48 000 узлов используют HTTPS. Для части наблюдались TLS-отпечатки, совпадающие с профилями серверов управления семейства Sliver.
Суммарно Deep Specter Research говорит более чем о 48 тысячах хостов и свыше 80 кластеров, о десятках тысяч наблюдений за 2021–2025 годы и о сотнях публичных индикаторов, на которые, по их словам, не последовало реакции. Исследователи полагают, что речь идёт о сервисе фишинга индустриального уровня с унифицированным стеком управления и клоакинга. С их точки зрения, поставщики инфраструктуры, через которые проходит значительная часть интернета, должны жёстче отслеживать злоупотребления, а крупные бренды — вроде Lockheed Martin — выстраивать непрерывный мониторинг копий и быструю правовую и техническую реакцию, чтобы пресекать подмену, краудинг нелегального контента и угон доверия пользователей.
Подробнее:
