Названа группа, стоящая за многолетней фишинговой компанией

Названа группа, стоящая за многолетней фишинговой компанией

APT-группировка массово собирает учетные данные организаций по всему миру.

image

Исследователи Recorded Future считают, что за масштабной кампанией по краже учетных данных стоит китайская APT-группа RedAlpha . Кампания нацелена на глобальные гуманитарные, аналитические и правительственные организации.

Recorded Future выявила связь между RedAlpha и китайской ИБ-компанией, чье название фигурирует в регистрации нескольких доменов RedAlpha. Компания под названием «Nanjing Qinglan Information Technology Co., Ltd.» теперь известна как «Jiangsu Cimer Information Security Technology Co. Ltd.».

По словам экспертов, хакеры RedAlpha стремятся получить доступ к учетным записям электронной почты и других сервисов целевых лиц и организаций. С 2019 года RedAlpha зарегистрировала и использовала сотни доменов, которые подделывали такие организации, как:

  • Международная федерация прав человека (FIDH);
  • Amnesty International;
  • Институт китаеведения им. Меркатора (MERICS);
  • Радио Свободная Азия (RFA);
  • Американский институт на Тайване (AIT);
  • и другие правительственные, аналитические и гуманитарные организации по всему миру.

Группировка также использует домены, подделывающие Yahoo (135 доменов), Google (91 домен) и Microsoft (70 доменов). В некоторых доменах размещаются фишинговые страницы входа для популярных почтовых провайдеров, таких как Outlook и Zimbra.

Вектором атаки RedAlpha является фишинговое электронное письмо, содержащее PDF-файл с вредоносной ссылкой, ведущей на фишинговую страницу входа в электронную почту.


По словам исследователей, киберпреступники нацелены на лиц, связанных с вышеуказанными организациями, а не маскируются под эти организации для атак на другие фирмы.

За последние несколько лет деятельность RedAlpha расширилась и теперь включает фишинговые кампании для кражи учетных данных, подделывая министерства иностранных дел в нескольких странах. Специалисты обнаружили фишинговые страницы порталов входа в почту для МИД Тайваня и Португалии, а также несколько доменов, имитирующих МИД Бразилии и Вьетнама.

Согласно исследованию, цели группы RedAlpha тесно связаны со стратегическими интересами китайского правительства. Это подтверждает сосредоточение сил на аналитических центрах, ориентированных на Китай, организациях гражданского общества, тайваньском правительстве и политических организациях.


Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!