iGamingNews – новости iGaming

В Индонезии раскрыта сеть из 328 тыс доменов

В Индонезии раскрыта сеть из 328 тыс доменов

Платформа «Malanta» обнаружила сеть из 328 тыс. доменов с нелегальными гемблинг-сайтами, которую вероятно используют для C2-серверов и анонимизации киберпреступников.

Сеть включает 236 тыс. купленных доменов, 90 тыс взломанных сайтов и 1,5 тыс. взломанных поддоменов, включая сайты правительственных структур США, ЕС и Израиля. Также выявлены 38 GitHub-аккаунтов с веб-шеллами, тысячи вредоносных Android-приложений и 480 фейковых доменов организаций. Часть доменов имитирует «Lazada» (85 тыс), «Envato» (35 тыс) и «eBay» (1,8 тыс). Сеть действует с 2011 года.

Назначение инфраструктуры и принципы работы

По данным исследования, основная задача инфраструктуры — перенаправление пользователей на индонезийские нелегальные казино. В Индонезии любые формы гемблинга запрещены законом.

Доступ к сайтам ограничивается по геолокации. Для регистрации требуется телефон с кодом +62 и данные индонезийских банков и платёжных сервисов, включая BCA, Mandiri, BNI, BRI, CIMB Niaga, а также электронные кошельки DANA, OVO, Gopay и LinkAja.

Все сайты используют единый шаблон и сервис поддержки livechatinc.com. Домены в основном размещены через Cloudflare, а IP-адреса привязаны к США.

Вредоносные Android-приложения

Исследователи выявили 7 700 доменов, связанных минимум с 20 AWS S3-бакетами, где размещались тысячи APK-файлов с названиями, связанными с азартными играми.

После установки приложения загружают дополнительные APK-файлы, получают доступ к памяти устройства и используют push-уведомления через Firebase Cloud Messaging. В коде зафиксированы встроенные учётные данные и API-ключи.

Часть приложений использует общий домен jp-api.namesvr[.]dev, который, вероятно, выполняет функции C2-сервера.

Взлом доменов и поддоменов

Взлом доменов

Установлено, что 90,1 тыс. доменов были взломаны для размещения ссылок на нелегальные казино. Контент часто маскируется под страницы популярных сервисов.

HTML-шаблоны имитируют интерфейсы Lazada, eBay и Envato. Более 108 тыс. доменов размещаются примерно на 600 IP-адресах, где каждый IP обслуживает сотни сайтов.

Взлом поддоменов

Зафиксировано не менее 1,481 взломанного поддомена, размещённых на AWS, Azure и GitHub. Под атаки попали компании из сфер производства, логистики, медицины, образования и государственного сектора.

Часть поддоменов использовалась для размещения поддельных страниц популярных сервисов. В отдельных случаях поддомены правительственных организаций применялись для проксирования трафика через NGINX с расшифровкой HTTPS и передачей данных на серверы атакующих.

В ряде случаев поддомены наследовали cookie основной страницы, что создавало возможность кражи пользовательских сессий.

GitHub и украденные данные

Для размещения вредоносных шаблонов, веб-шеллов и служебных файлов использовались 38 временных GitHub-аккаунтов. Активность этих аккаунтов фиксируется с 2022–2023 годов.

Также в даркнете выявлены 51 тыс. похищенных учётных данных, связанных с данной инфраструктурой и заражёнными устройствами.

Оценка масштабов инфраструктуры

Глава «Malanta» Коби Бен Наим оценил стоимость поддержки такой структуры в сотни тысяч или несколько миллионов долларов в год. По его словам, группировка, вероятно, имеет индонезийское происхождение, однако подтверждений связи с государственными структурами выявлено не было.