Операция DoppelBrand: фишинг GS7, кража учетных данных и злоупотребление RMM
Команда SOCRadar по поиску угроз обнаружила сложную и длительно действовавшую фишинг-кампанию под названием DoppelBrand, направленную преимущественно против компаний из списка Fortune 500 и их клиентов. За атрибуцией атаки стоит актор, известный как GS7, активный приблизительно десять лет и постоянно совершенствующий тактику, инфраструктуру и модель монетизации полученных доступов.
Ключевые выводы
Актор: GS7 — профессиональный посредник доступа с заметным присутствием на подпольных рынках Бразилии.
Методы доставки: фишинг через поддельные интерфейсы OneDrive с перенаправлением на специализированные панели рассылки.
Эксфильтрация: сбор логинов, паролей, IP-адресов и геолокационных данных; данные фильтруются в режиме реального времени в Telegram‑группы "NfResultz by GS" и "WfResultz by GS".
Удержание доступа: злоупотребление легитимными средствами удаленного управления (RMM) — LogMeIn, AnyDesk, ScreenConnect — с автоматической установкой через VBS-скрипты и msiexec.exe.
Цели: в первую очередь финансовые учреждения; также сектора технологий, здравоохранения и потребительских услуг. География — преимущественно США и Западная Европа.
Как работает кампания
Операция использует многослойную стратегию обмана и автоматизации. На первом этапе жертве отправляется фишинг‑сообщение, которое ведет на поддельный вход в систему OneDrive. Поддельный интерфейс оформлен так, чтобы имитировать разные варианты провайдеров услуг и создать ощущение легитимности. Затем пользователь перенаправляется на специализированную фишинг‑панель, где запрашиваются учетные данные.
Собранные данные включают имена пользователей, пароли и IP-адреса; дополнительно выполняется сбор геолокации и сведений об интернет‑провайдере. Информация передаётся в режиме реального времени в Telegram‑группы ("NfResultz by GS", "WfResultz by GS"), а пользователь незаметно перенаправляется обратно на законный сайт, чтобы скрыть факт фишинга и снизить подозрительность.
Удержание и расширение доступа: злоупотребление RMM
Для получения постоянного доступа операторам GS7 достаточно одного успешного открытия доступа. После компрометации системы злоумышленник запускает VBS-скрипт, который:
проверяет наличие прав администратора на целевой машине;
при необходимости пытается повысить привилегии через UAC;
автоматически устанавливает программное обеспечение RMM с помощью msiexec.exe (LogMeIn, AnyDesk, ScreenConnect);
удаляет установочные файлы и прочие следы, чтобы осложнить последующее расследование.
Цели, география и шаблоны атак
Главная коммерческая ценность для GS7 — это банковские учетные записи и доступы к платежным платформам, которые быстро перепродаются на подпольных рынках. Кроме того, скомпрометированные корпоративные сети могут быть выставлены на продажу операторам программ‑вымогателей. Основной упор делается на англоязычные шаблоны фишинга и нацеливание на организации в США и Западной Европе.
Как была установлена принадлежность к GS7
Атрибуция операции к GS7 опирается на несколько видов доказательств:
анализ кода фишинговых панелей мониторинга и их инфраструктуры;
токены и конфигурации Telegram‑ботов, используемых для эксфильтрации;
конкретные соглашения об именовании доменов и повторяющиеся шаблоны в инфраструктуре;
сопоставление данных активности на подпольных рынках и прямые взаимодействия с актором, которые подтвердили модель посредничества в доступах.
Вывод: операция DoppelBrand — показатель того, как киберпреступники превращают фишинг в масштабируемый бизнес: автоматизированная эксфильтрация в связке с выстроенной системой продажи доступов делает такие кампании особенно опасными. Комплексная защита — от обучения сотрудников до технических ограничений на установку RMM и оперативного обмена данными о угрозах — остаётся единственным надёжным ответом.
• Source: Для просмотра ссылки Войдиили Зарегистрируйся
Команда SOCRadar по поиску угроз обнаружила сложную и длительно действовавшую фишинг-кампанию под названием DoppelBrand, направленную преимущественно против компаний из списка Fortune 500 и их клиентов. За атрибуцией атаки стоит актор, известный как GS7, активный приблизительно десять лет и постоянно совершенствующий тактику, инфраструктуру и модель монетизации полученных доступов.
Ключевые выводы
Актор: GS7 — профессиональный посредник доступа с заметным присутствием на подпольных рынках Бразилии.
Методы доставки: фишинг через поддельные интерфейсы OneDrive с перенаправлением на специализированные панели рассылки.
Эксфильтрация: сбор логинов, паролей, IP-адресов и геолокационных данных; данные фильтруются в режиме реального времени в Telegram‑группы "NfResultz by GS" и "WfResultz by GS".
Удержание доступа: злоупотребление легитимными средствами удаленного управления (RMM) — LogMeIn, AnyDesk, ScreenConnect — с автоматической установкой через VBS-скрипты и msiexec.exe.
Цели: в первую очередь финансовые учреждения; также сектора технологий, здравоохранения и потребительских услуг. География — преимущественно США и Западная Европа.
Как работает кампания
Операция использует многослойную стратегию обмана и автоматизации. На первом этапе жертве отправляется фишинг‑сообщение, которое ведет на поддельный вход в систему OneDrive. Поддельный интерфейс оформлен так, чтобы имитировать разные варианты провайдеров услуг и создать ощущение легитимности. Затем пользователь перенаправляется на специализированную фишинг‑панель, где запрашиваются учетные данные.
Собранные данные включают имена пользователей, пароли и IP-адреса; дополнительно выполняется сбор геолокации и сведений об интернет‑провайдере. Информация передаётся в режиме реального времени в Telegram‑группы ("NfResultz by GS", "WfResultz by GS"), а пользователь незаметно перенаправляется обратно на законный сайт, чтобы скрыть факт фишинга и снизить подозрительность.
Удержание и расширение доступа: злоупотребление RMM
Для получения постоянного доступа операторам GS7 достаточно одного успешного открытия доступа. После компрометации системы злоумышленник запускает VBS-скрипт, который:
проверяет наличие прав администратора на целевой машине;
при необходимости пытается повысить привилегии через UAC;
автоматически устанавливает программное обеспечение RMM с помощью msiexec.exe (LogMeIn, AnyDesk, ScreenConnect);
удаляет установочные файлы и прочие следы, чтобы осложнить последующее расследование.
Цели, география и шаблоны атак
Главная коммерческая ценность для GS7 — это банковские учетные записи и доступы к платежным платформам, которые быстро перепродаются на подпольных рынках. Кроме того, скомпрометированные корпоративные сети могут быть выставлены на продажу операторам программ‑вымогателей. Основной упор делается на англоязычные шаблоны фишинга и нацеливание на организации в США и Западной Европе.
Как была установлена принадлежность к GS7
Атрибуция операции к GS7 опирается на несколько видов доказательств:
анализ кода фишинговых панелей мониторинга и их инфраструктуры;
токены и конфигурации Telegram‑ботов, используемых для эксфильтрации;
конкретные соглашения об именовании доменов и повторяющиеся шаблоны в инфраструктуре;
сопоставление данных активности на подпольных рынках и прямые взаимодействия с актором, которые подтвердили модель посредничества в доступах.
Вывод: операция DoppelBrand — показатель того, как киберпреступники превращают фишинг в масштабируемый бизнес: автоматизированная эксфильтрация в связке с выстроенной системой продажи доступов делает такие кампании особенно опасными. Комплексная защита — от обучения сотрудников до технических ограничений на установку RMM и оперативного обмена данными о угрозах — остаётся единственным надёжным ответом.
• Source: Для просмотра ссылки Войди