Operation TrustTrap
A Cyble által azonosított Operation TrustTrap kampány egy nagyléptékű, domain spoofingra épülő, kifejezetten bizalom-alapú pszichológiai megtévesztés művelet, amely nem technikai sérülékenységeket, hanem a felhasználói percepciót és hitelességi modelleket támadja.
A kampány során több mint 16 800 hamis domain került azonosításra, amelyek úgy vannak kialakítva, hogy legitim szervezetek, kiemelten kormányzati intézmények domainjeire hasonlítsanak. A támadók jellemzően subdomain-injection technikát alkalmaznak, így a gov vagy egyéb hivatalos struktúrák beágyazása a domainbe, amikkel az URL első ránézésre megbízhatónak tűnik, miközben valójában támadói infrastruktúrára mutat.
A művelet egyik kulcseleme a trust abuse, a támadók a felhasználók megszokott vizuális és nyelvi mintáit másolják, beleértve a hivatalos útvonalstruktúrákat, valamint a célzott szervezetek működését tükröző tartalmat. Ez lehetővé teszi credential harvesting, fizetési csalások vagy további kompromittációs lépések előkészítését.
A domain-ek jelentős része tömegesen, azonos regisztrátorokon keresztül jön létre, és főként APAC felhőszolgáltatókon fut. A kampány rövid életciklusú, egy-két hétig fennmaradó domain-ekkel dolgozik, ami megnehezíti a blokkolást és a reputáció-alapú detekciót.
A detekciót tovább nehezíti, hogy a mintázatok nem statikus stringekre, hanem strukturális hasonlóságokra épülnek, így a hagyományos IoC-alapú védelem korlátozott hatékonyságú. A vizsgált domain-ek jelentős része minimális detekciós találattal rendelkezett, ami jól mutatja az evasion sikerességét.
Az amerikai állami rendszerek mellett indiai, brit és délkelet-ázsiai célpontok is megjelennek, egyes klaszterek pedig APT-khez, például az APT36, Transparent Tribe, pakisztáni kiberaktorhoz köthetők.
