От години е установено, че множество заплахи се възползват от техниката за атака, наречена Sitting Ducks, за да превземат легитимни домейни и да ги използват във фишинг атаки и схеми за инвестиционни измами.

Констатациите идват от Infoblox, която заяви, че през последните три месеца е идентифицирала близо 800 000 уязвими регистрирани домейни, от които приблизително 9% (70 000) са били отвлечени впоследствие.

„Киберпрестъпниците са използвали този вектор от 2018 г. насам, за да отвлекат десетки хиляди имена на домейни“, заяви компанията за киберсигурност в доклад за задълбочено проучване, споделен с The Hacker News. „Сред домейните на жертвите са известни марки, организации с нестопанска цел и правителствени организации“.

Малко известният вектор на атака, въпреки че първоначално е документиран от изследователя по сигурността Матю Брайънт още през 2016 г., не привлече голямо внимание, докато мащабът на отвличанията не беше разкрит по-рано този август.

„Смятам, че [оттогава] има по-голяма осведоменост“, каза пред The Hacker News д-р Рене Бъртън, вицепрезидент по разузнаване на заплахите в Infoblox. „Въпреки че не сме забелязали броят на отвличанията да е намалял, наблюдаваме, че клиентите са много заинтересовани от темата и са благодарни за информираността относно собствените си потенциални рискове.

В основата си атаката Sitting Ducks позволява на злонамеренo лице да поеме контрола над даден домейн, като се възползва от неправилни настройки в настройките на системата за имена на домейни (DNS). Това включва сценарии, при които DNS насочва към грешен авторитетен сървър за имена.

Съществуват обаче определени предпоставки, за да се осъществи това: Регистрираният домейн делегира авторитетни DNS услуги на доставчик, различен от регистратора на домейна, делегирането е неубедително и атакуващият може да „заяви“ домейна при доставчика на DNS и да зададе DNS записи без достъп до профила на валидния собственик при регистратора на домейна.

Hijacked Domains

Sitting Ducks е лесен за изпълнение и скрит, отчасти благодарение на положителната репутация, която имат много от отвлечените домейни. Някои от домейните, които са станали жертва на атаките, включват развлекателна компания, доставчик на IPTV услуги, адвокатска кантора, доставчик на ортопедични и козметични продукти, тайландски онлайн магазин за дрехи и фирма за продажба на гуми.

Заплахите, които превземат такива домейни, се възползват от позиционирането на марката и от факта, че е малко вероятно те да бъдат маркирани от инструментите за сигурност като злонамерени, за да постигнат стратегическите си цели.

„Трудно е да се открие, защото ако домейнът е бил отвлечен, той не е куц“, обяснява Бъртън. „Без никакъв друг признак, като например фишинг страница или зловреден софтуер, единственият сигнал е смяната на IP адресите.“

„Броят на домейните е толкова огромен, че опитите да се използват промените в IP адресите за индикация на злонамерена дейност биха довели до много фалшиви положителни резултати. Ние се „връщаме“ към проследяването на заплахите, които превземат домейни, като първо разбираме как действат те поотделно и след това проследяваме това поведение.“

Важен аспект, който е общ за атаките на Sitting Ducks, е ротационното отвличане, при което един домейн се превзема многократно от различни заплахи с течение на времето.

Hijacked Domains

 

„Заплахите често използват използваеми доставчици на услуги, които предлагат безплатни акаунти като DNS Made Easy, като библиотеки за заемане, обикновено отвличайки домейни за 30 до 60 дни; но сме виждали и други случаи, в които участниците задържат домейна за дълъг период от време“, отбелязват от Infoblox.

„След изтичането на краткосрочния безплатен акаунт домейнът се „губи“ от първия извършител и след това се паркира или се заявява от друг.“

По-долу са изброени някои от известните действащи лица за заплахи в областта на DNS, за които е установено, че „пируват“ с атаки от типа „Sitting Ducks“.

  • Vacant Viper, който го е използвал за управление на 404 TDS, наред с провеждането на злонамерени спам операции, доставяне на порнография, установяване на командване и контрол (C2) и пускане на зловреден софтуер като DarkGate и AsyncRAT (в ход от декември 2019 г.)
  • Horrid Hawk, който го е използвал за провеждане на схеми за инвестиционни измами, като е разпространявал отвлечените домейни чрез краткотрайни реклами във Facebook (продължава поне от февруари 2023 г.)
  • Hasty Hawk, който го е използвал за провеждане на широкоразпространени фишинг кампании, имитиращи предимно страници за доставка на DHL и фалшиви сайтове за дарения, които имитират supportukrainenow[.]org и твърдят, че подкрепят Украйна (в ход поне от март 2022 г.)
  • VexTrio Viper, която е използвала за управление на своите ТДС (в ход от началото на 2020 г.)

 

Според Infoblox редица филиали на VexTrio Viper, като GoRefresh, също са участвали в атаки на Sitting Ducks, за да провеждат фалшиви онлайн фармацевтични кампании, както и измами с хазарт и запознанства.

„Имаме няколко колектива, които изглежда използват домейните за зловреден софтуер C2, при който екфилтрацията се изпраща чрез пощенски услуги“, каза Бъртън. „Докато други ги използват за разпространение на спам, тези участници конфигурират DNS домейните си само за получаване на поща.“

Това показва, че лошите  използват иззетите домейни по широк спектър от причини, като по този начин излагат както бизнеса, така и физическите лица на риск от зловреден софтуер, кражба на удостоверения и измами.

„Открихме няколко участници, които са отвлекли домейни и са ги задържали за дълги периоди от време, но не успяхме да определим целта на отвличането“, заключава Infoblox. „Тези домейни обикновено имат висока репутация и обикновено не се забелязват от доставчиците на услуги за сигурност, което създава среда, в която хитри извършители могат да доставят зловреден софтуер, да извършват необуздани измами и да фишират потребителски идентификационни данни без последствия.“

Източник: The Hacker News

Подобни публикации

12 февруари 2025

Deepfake, изкуствен интелект, регулации - опред...

Снощи, 11.02.2025 г., зала ‚Йоханесбург‘ на Полиграфическия комбина...
12 февруари 2025

Несправедливата реалност на киберинцидентите

Неотдавна мой чудесен колега се контузи доста тежко по време на зим...
12 февруари 2025

SAP пуска 21 кръпки за сигурност

Производителят на корпоративен софтуер SAP обяви във вторник пускан...
12 февруари 2025

Intel поправи 374 уязвимости през 2024 г.

През календарната 2024 г. Intel е поправила общо 374 уязвимости в с...
11 февруари 2025

Ключови фигури от Phobos и 8Base са арестувани ...

Координирана международна акция на правоприлагащите органи миналата...
11 февруари 2025

Поведенчески анализ в киберсигурността: Кой има...

Тъй като разходите за нарушаване на сигурността на данните продължа...
11 февруари 2025

120 хил. жертви са компрометирани при атака с р...

В Бейнбридж, щата Джорджия, малката болница Memorial Hospital and M...
11 февруари 2025

Lee Enterprises се възстановява от кибератака

Вестникарската компания очаква разследването да отнеме известно вре...
11 февруари 2025

Над 12 000 защитни стени KerioControl са изложе...

Над дванадесет хиляди екземпляра на защитната стена GFI KerioContro...
Бъдете социални
Още по темата
12/02/2025

Deepfake, изкуствен интелек...

Снощи, 11.02.2025 г., зала ‚Йоханесбург‘ на...
12/02/2025

Несправедливата реалност на...

Неотдавна мой чудесен колега се контузи...
11/02/2025

Поведенчески анализ в кибер...

Тъй като разходите за нарушаване на...
Последно добавени
12/02/2025

Deepfake, изкуствен интелек...

Снощи, 11.02.2025 г., зала ‚Йоханесбург‘ на...
12/02/2025

Несправедливата реалност на...

Неотдавна мой чудесен колега се контузи...
12/02/2025

SAP пуска 21 кръпки за сигу...

Производителят на корпоративен софтуер SAP обяви...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!