你是那條被釣的魚嗎?駭客藉過期合法網域「改造」成賭博網站
記者孫敬/編譯
一項長達三年,潛伏在Google Cloud和Cloudflare基礎設施上的精密網路釣魚行動,近日終於被揭露。這場惡意活動冒充包括美國國防承包商洛克希德馬丁在內的各大公司,駭客利用過期的合法網域與先進的偽裝技術,成功逃避了兩大網路服務巨頭的偵測,凸顯出全球最大網路服務供應商在偵測能力上的失靈。
延伸閱讀:跨國駭客聯盟對Google下最後通牒!要求開除兩名資安小組員工 否則公開資料庫
早在2021年駭客就在布局合法網域的賭博行為
這場騙局來自駭客鎖定那些信譽良好、且擁有活躍社群媒體的高價值網域,透過購買過期的合法網域,隨後將其變成財富500大企業的假網站,使冒充行為更具說服力。其中一個引人注目的案例是militaryfighterjet.com,這個原本提供軍用飛機資訊的網域,被改造成一個賭博網站,同時也完美複製了洛克希德馬丁的公司網站。
駭客運用了隱蔽(cloaking),根據訪客的瀏覽器類型和地理位置顯示不同的內容。當搜尋引擎爬蟲或用戶從Google搜尋結果進入時,會看到看似合法的企業網站,但如果直接在瀏覽器中輸入網址,則會顯示賭博內容。
Deep Specter Research的分析師在調查militaryfighterjet.com網域時,揭發了這個大規模的行動。他們的分析顯示,該基礎設施包含超過48,000個活躍的虛擬主機,分佈在86個不同的叢集,大部分主機位於香港和台灣的Google Cloud平台上。研究人員還發現,此行動最早可追溯至2021年,規模擴張時期恰巧與全球重大的資安事件和資料外洩事件相吻合。
精密分工與工具濫用,駭客行動專業化
從底層的基礎設施和部署方法來看,這個行動展現出極高的技術成熟度。Deep Specter Research分析師指出,駭客利用合法的網頁爬取工具「HTTrack Website Copier」來複製目標企業的網站,並在複製網站的HTML註解中發現了該工具的使用痕跡,甚至包含了網站被複製的時間戳記。
研究人員對原始碼分析後發現,偽裝系統會檢查HTTP標頭、使用者代理字串和IP地理位置數據,以辨識訪客是合法用戶、搜尋引擎機器人還是安全研究員。這種選擇性的內容傳遞方式,使得惡意網站能夠維持高搜尋引擎排名,同時向目標族群提供賭博內容和潛在惡意軟體。
這個基礎設施展現了驚人的韌性和可擴展性,駭客在軍事、醫療和製造等多個產業中,建立超過200個仿冒品牌,最大的單一叢集包含了近6,000個虛擬主機,複製單一組織的內容,這顯示他們可能正在為更大規模的資料外洩行動做準備。這種層級分明的指揮結構,包含了8個上層管理主機和78個常規叢集管理員,是專業網路犯罪組織的典型特徵。
資料來源:Cyber Security News
