三年多来,一种复杂的网络钓鱼作一直在 Google Cloud 和 Cloudflare 基础设施中运行,而未被发现,冒充包括国防承包商洛克希德·马丁公司在内的大公司。
该活动利用了先进的伪装技术并破坏了过期域名,表明互联网上最大的两家服务提供商在检测能力方面存在令人担忧的失败。
该行动首先攻击者获取以前属于合法组织的过期域名,然后部署财富 500 强公司的克隆网站。
该计划专门针对具有良好声誉和活跃社交媒体社区的高价值域名,使冒充行为对毫无戒心的用户更具说服力。
一个值得注意的案例涉及域名 militaryfighterjet.com,该域名最初托管有关军用飞机的内容,但后来转变为一个赌博网站,同时作为洛克希德·马丁公司网站的完美克隆。
攻击者采用了复杂的伪装技术,根据访问者的用户代理和地理位置呈现不同的内容。
当搜索引擎爬虫或通过 Google 搜索结果访问时,用户会看到看起来合法的公司网站克隆。
然而,直接浏览器访问会泄露赌博内容,从而创建一个两用基础设施,在向真实用户提供非法内容的同时逃避自动检测系统。
Deep Spectre Research 分析师通过对 militaryfighterjet.com 域转型的调查确定了这一大规模作。
他们的分析显示,该基础设施由超过 48,000 个活跃的虚拟主机组成,分为 86 个不同的集群,其中大部分托管在香港和台湾的 Google Cloud 平台上。
研究人员发现了该行动的证据,其证据可以追溯到 2021 年,其显着扩张期恰逢全球重大网络安全事件和数据泄露。
技术基础设施和攻击方法
当检查底层基础设施和部署方法时,该活动的技术复杂性变得显而易见。
Deep Spectre Research 分析师指出,攻击者利用合法的网络抓取工具 HTTrack 网站复制器创建目标组织网站的像素完美副本。
在克隆站点的 HTML 注释中发现了该工具使用的证据,包括显示复制特定站点的时间戳。
该行动的源代码分析揭示了使检测变得特别具有挑战性的战略实施细节。
伪装系统检查 HTTP 标头、用户代理字符串和 IP 地理位置数据,以确定访问者是合法用户、搜索引擎机器人还是安全研究人员。
这种选择性内容交付使恶意网站能够保持较高的搜索引擎排名,同时向目标人群提供赌博内容和潜在的恶意软件。
该基础设施表现出卓越的弹性和可扩展性,攻击者维护着军事、医疗保健和制造业等多个行业的 200 多个克隆品牌。
最大的单个集群包含近 6,000 台虚拟主机,为单个组织的克隆内容提供服务,这表明这可能代表着为大规模违规活动做准备。
对网络架构的分析显示,8 个上层管理主机协调 78 个常规集群管理器,这表明专业网络犯罪行动典型的分层指挥结构。
攻击者战略性地利用 Google Cloud 和 Cloudflare 基础设施的可信特性来绕过安全过滤器,并在其广泛的受感染域网络中保持持久性。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
