Разбираем реальный инцидент — от фишинговой ссылки до bulletproof-хостинга. IOC, техники обфускации и инфраструктура кампании на 290+ доменов.
Контекст
14 марта 2026 года в личный Telegram пришло сообщение от знакомого:
Салам Аллейкум братья и сестры
Проходит региональное голосование
Прошу проголосовать за меня и отправить по своим
Со ссылкой на beaminkjet[.]com/umarashab.
«Отправить по своим» — ключевая фраза. Сообщение приходит от реального знакомого с украденного аккаунта — уровень доверия максимальный. Каждая жертва становится вектором доставки для своего круга контактов. Классический вирусный фишинг, работающий без единого эксплойта.
Эта статья — технический разбор инцидента с IOC и деталями инфраструктуры. Если вы аналитик SOC или занимаетесь threat intelligence — здесь есть правила детекции (Sigma, YARA) и индикаторы для блокировки.
Цепочка атаки
Этап 1: фильтрация
Первое, что делает сервер — проверяет User-Agent:
User-Agent | Ответ | Цель |
|---|---|---|
Мобильный | 200 OK → фишинговая страница | Показать жертве |
Десктопный | 302 → google.com | Скрыть от аналитиков |
TelegramBot | 204 No Content | Скрыть preview в мессенджере |
Это не случайность, а осознанная фильтрация: боты и аналитики видят google.com или пустоту, жертва на мобильном — фишинговую страницу.
Этап 2: «голосование»
Мобильный пользователь видит страницу с двумя кандидатами (фото хостятся на postimg.cc), счётчиками голосов и кнопкой «Проголосовать». При нажатии — popup:
В целях борьбы с накруткой просим вас авторизоваться с помощью соц. сетей
Кнопка «Войти через Telegram» → редирект на страницу кражи сессии.
Этап 3: кража
Фейковый Telegram Login Widget запрашивает номер телефона и код авторизации. Введённый код перехватывается — злоумышленник получает полный доступ к аккаунту: контакты, переписка, каналы, рассылка от имени жертвы.
Что внутри фишинг-кита
Гомоглифы: обход текстовых фильтров
В тексте фишинговой страницы кириллические буквы заменены визуально идентичными латинскими: «гoлocoв» (латинская "o" вместо кириллической "о"), «прoeкт», «учacтиe». Для человека — незаметно, для текстового фильтра Telegram — это совершенно другие слова. Поиск по кириллическому «голосов» не найдёт «гoлocoв» с латинскими подменами. Техника документирована как MITRE ATT&CK T1036.005 (Masquerading), хотя классически она описывает маскировку файлов и процессов — здесь masquerading применяется на уровне текстового контента для обхода контентных фильтров, что является нетипичным применением техники.
Полиморфные CSS-классы
При каждом запросе генерируется уникальный 8-символьный префикс для всех CSS-классов:
Запрос 1: .kbnxfrio_LtqiE { ... } Запрос 2: .iyevwfjm_LtqiE { ... } Запрос 3: .tdszpnwx_LtqiE { ... }
Суффикс (_LtqiE) стабилен — меняется только префикс. Обфускация реализована на стороне PHP-шаблонизатора. Для сигнатурного детекта — ищите по суффиксам.
Интересный баг: SVG-иконки Telegram используют фиксированный префикс ojmcdqfn_ — шаблонизатор не обфусцирует inline-SVG.
CSS-мусор
Каждый CSS-блок содержит «ложные» свойства, которые перезаписываются реальными:
.prefix_ZOfZpuI { cursor: wait; /* мусор — будет перезаписан */ background: rgba(34,34,34,.8); /* мусор */ /* реальные: */ background: #0088cc; cursor: pointer; }
Автоматический анализ CSS без учёта каскадности даст неверную картину.
Anti-replay токены
Каждый запрос получает уникальные идентификаторы:
Base href: SHA-256 хеш в пути (
/5c02cd685e88686d...)Redirect path: 7-символьный токен (
am4DHt2,vg0uJod,c4329mf)
Повторное использование ссылки невозможно — сервер отклоняет уже использованные пути. Это также затрудняет автоматическое сканирование: каждый запрос sandboxа к URL получает уникальную страницу.
Мусорный HTML
Скрытые div-ы с display: none содержат:
Фейковые товары: «Luxurious Metal Table — 294.52$»
Lorem ipsum: «Vilicus iure thorax a.»
Фейковые таблицы с датами и суммами
Фейковые формы с input-полями
Антифишинговый сканер видит «интернет-магазин», а не фишинг.
Tracking-хеш
В HTML-комментариях повторяется 8d1c6e9b6c08132c9bddf5128515ebcc (MD5). Стабилен между запросами. Вероятно, идентификатор фишинг-кита или конкретного оператора в партнёрской программе.
Инфраструктура
Сервер
Параметр | Значение |
|---|---|
IP |
|
ASN | AS214940 KPRONET / AS215693 PalmaHost |
Владелец сети | Pitline Ltd, Харьков, Украина ( |
Censys label | BULLETPROOF (confidence 0.75) |
ОС | Debian 12 (SSH OpenSSH 9.2p1) |
Веб-сервер | Caddy → PHP backend |
SSL | Let's Encrypt E7, выдан 2026-03-14 11:16 UTC |
Соседние IP в подсети 77[.]83[.]39[.]x имеют сотни abuse-репортов на AbuseIPDB (77[.]83[.]39[.]4 — 931 репорт). Подсеть систематически используется для вредоносной деятельности.
Перестройка сервера
Censys Service History фиксирует целенаправленную перестройку сервера:
Период | Порты | Интерпретация |
|---|---|---|
До ~12 февраля | 135, 137, 139, 445, 3389, 5985 | Windows (RDP/SMB/WinRM) |
12 февраля — 7 марта | — | Переустановка ОС |
С ~7 марта | 22, 80, 443 | Debian Linux → фишинг |
Сервер целенаправленно переустановлен с Windows на Linux под кампанию.
12 доменов на одном IP
На 77[.]83[.]39[.]62 обнаружены 12 доменов, разделённых на два кластера по регистратору и Cloudflare-аккаунту:
Кластер 1 (Namecheap, CF: anastasia+mitchell):
beaminkjet[.]com— основной фишинговый домен
Кластер 2 (Global Domain Group, CF: aaden+adaline):
vybory[.]cyou,vybory[.]bond,vybory[.]sbs,vybory[.]cfd— «выборы» (февраль 2026)vesna2026[.]cyou,vesna2026[.]cfd,vesna2026[.]sbs— «весна 2026» (март 2026)onetop[.]sbs,onetop[.]cfd,onetop[.]bond,onetop[.]click
Два разных регистратора и два Cloudflare-аккаунта — OPSEC-разделение. Но один IP выдаёт общего оператора.
WHOIS
Регистрант beaminkjet[.]com:
Email:
syimono1488[at]gmail[.]comИмя: James Wilson (фейковое)
Телефон:
+1.917-555-0123(формат 555-xxxx — несуществующий)Адрес: 1234 Broadway Ave, New York (шаблонный)
Домен зарегистрирован 2025-10-10, WHOIS обновлён в день атаки (2026-03-14). Aged-домен, использованный через 5 месяцев.
Certificate Transparency
6 сертификатов выдано на beaminkjet[.]com 14 марта — в день атаки. Caddy автоматически запрашивает Let's Encrypt при добавлении домена в конфигурацию — всплеск сертификатов указывает на момент деплоя фишинговой инфраструктуры. При этом домен непрерывно имел SSL с октября 2025 (15 сертификатов за 5 месяцев) — это не «спящий» домен, он поддерживался активным.
Масштаб кампании
Компания F6 (ранее F.A.C.C.T., ещё ранее — Group-IB) 12 марта 2026 опубликовала исс��едование: 290+ доменов используют этот же шаблон с 2022 года. Пиковая активность — февраль 2026 (39 доменов за месяц).
Типичный сценарий F6: голосование «за больного ребенка» → Telegram-авторизация → кража сессии. Наш инцидент — вариация для мусульманской аудитории: «региональное голосование за кандидата».
Мотивация обновления схемы (по данным F6): дефицит российских SIM-карт для создания фейковых аккаунтов → переход на кражу существующих.
IOC
Тип | Значение |
|---|---|
Domain |
|
IP |
|
ASN | AS214940 (KPRONET), AS215693 (PalmaHost) |
Network |
|
| |
Domain |
|
Domain |
|
Domain |
|
Hash (MD5) |
|
SSL Serial |
|
Правила детекции
Sigma (прокси-логи)
title: Telegram Voting Phishing Kit Access description: Detects access to known Telegram voting phishing domains and infrastructure status: experimental author: FDC Threat Intelligence date: 2026/03/14 logsource: category: proxy detection: selection_domain: c-uri|contains: - 'beaminkjet.com' - 'vybory.cyou' - 'vybory.bond' - 'vybory.sbs' - 'vybory.cfd' - 'vesna2026.' - 'onetop.sbs' - 'onetop.cfd' - 'onetop.bond' - 'onetop.click' selection_ip: dst_ip: '77.83.39.62' condition: selection_domain or selection_ip level: high tags: - attack.initial_access - attack.t1566.002 - attack.credential_access - attack.t1539
YARA (HTML-контент)
rule Telegram_Voting_Phishing_Kit { meta: description = "Telegram voting phishing kit with polymorphic CSS" author = "FDC Threat Intelligence" date = "2026-03-14" strings: $antibot = "В целях борьбы с накруткой" // UTF-8 Cyrillic $kit_hash = "8d1c6e9b6c08132c9bddf5128515ebcc" $popup_func = "showAuthPopup" $css_pattern = /[a-z]{8}_[A-Za-z]{4,12}/ $hidden_junk = "Luxurious Metal Table" $static_prefix = "ojmcdqfn_" condition: 3 of them }
MITRE ATT&CK
Тактика | Техника | ID | Применение в инциденте |
|---|---|---|---|
Resource Development | Acquire Infrastructure: Domains | T1583.001 | 12 доменов на дешёвых TLD (.cyou, .sbs, .cfd) через два регистратора |
Resource Development | Acquire Infrastructure: VPS | T1583.003 | VPS на Pitline Ltd (BPH), переустановка ОС Windows → Linux |
Resource Development | Obtain Capabilities: Tool | T1588.002 | Профессиональный фишинг-кит с полиморфной обфускацией |
Initial Access | Phishing: Spearphishing Link | T1566.002 | Ссылка в Telegram с вирусным распространением |
Execution | User Execution: Malicious Link | T1204.001 | Жертва кликает и взаимодействует с формой «голосования» |
Defense Evasion | Masquerading | T1036.005 | Замена кириллицы латинскими гомоглифами в тексте страницы |
Defense Evasion | Obfuscated Files or Information | T1027 | Полиморфные CSS, мусорный HTML, anti-replay токены |
Credential Access | Steal Web Session Cookie | T1539 | Перехват Telegram-сессии через фейковую авторизацию |
Credential Access | Input Capture: Web Portal | T1056.003 | Фишинговая форма: номер телефона + код авторизации |
Рекомендации
Если вам или вашим пользователям пришла подобная ссылка:
Не переходите по ссылкам «проголосуй за меня» в мессенджерах
Проверьте активные сессии: Telegram → Настройки → Устройства → завершите подозрительные
Включите двухфакторную аутентификацию (облачный пароль) — это единственная защита от кражи сессии даже при перехвате кода
Не пересылайте подозрительные ссылки — вы становитесь вектором атаки
Для SOC/аналитиков:
Добавьте подсеть
77[.]83[.]36[.]0/22(Pitline Ltd) в watchlist — систематически используется для фишингаВсе co-hosted домены из IOC-таблицы — в DNS blocklist
IOC, правила детекции и полный отчёт (TLP:CLEAR) доступны в репозитории threat-intelligence
