От години е установено, че множество заплахи се възползват от техниката за атака, наречена Sitting Ducks, за да превземат легитимни домейни и да ги използват във фишинг атаки и схеми за инвестиционни измами.

Констатациите идват от Infoblox, която заяви, че през последните три месеца е идентифицирала близо 800 000 уязвими регистрирани домейни, от които приблизително 9% (70 000) са били отвлечени впоследствие.

„Киберпрестъпниците са използвали този вектор от 2018 г. насам, за да отвлекат десетки хиляди имена на домейни“, заяви компанията за киберсигурност в доклад за задълбочено проучване, споделен с The Hacker News. „Сред домейните на жертвите са известни марки, организации с нестопанска цел и правителствени организации“.

Малко известният вектор на атака, въпреки че първоначално е документиран от изследователя по сигурността Матю Брайънт още през 2016 г., не привлече голямо внимание, докато мащабът на отвличанията не беше разкрит по-рано този август.

„Смятам, че [оттогава] има по-голяма осведоменост“, каза пред The Hacker News д-р Рене Бъртън, вицепрезидент по разузнаване на заплахите в Infoblox. „Въпреки че не сме забелязали броят на отвличанията да е намалял, наблюдаваме, че клиентите са много заинтересовани от темата и са благодарни за информираността относно собствените си потенциални рискове.

В основата си атаката Sitting Ducks позволява на злонамеренo лице да поеме контрола над даден домейн, като се възползва от неправилни настройки в настройките на системата за имена на домейни (DNS). Това включва сценарии, при които DNS насочва към грешен авторитетен сървър за имена.

Съществуват обаче определени предпоставки, за да се осъществи това: Регистрираният домейн делегира авторитетни DNS услуги на доставчик, различен от регистратора на домейна, делегирането е неубедително и атакуващият може да „заяви“ домейна при доставчика на DNS и да зададе DNS записи без достъп до профила на валидния собственик при регистратора на домейна.

Sitting Ducks е лесен за изпълнение и скрит, отчасти благодарение на положителната репутация, която имат много от отвлечените домейни. Някои от домейните, които са станали жертва на атаките, включват развлекателна компания, доставчик на IPTV услуги, адвокатска кантора, доставчик на ортопедични и козметични продукти, тайландски онлайн магазин за дрехи и фирма за продажба на гуми.

Заплахите, които превземат такива домейни, се възползват от позиционирането на марката и от факта, че е малко вероятно те да бъдат маркирани от инструментите за сигурност като злонамерени, за да постигнат стратегическите си цели.

„Трудно е да се открие, защото ако домейнът е бил отвлечен, той не е куц“, обяснява Бъртън. „Без никакъв друг признак, като например фишинг страница или зловреден софтуер, единственият сигнал е смяната на IP адресите.“

„Броят на домейните е толкова огромен, че опитите да се използват промените в IP адресите за индикация на злонамерена дейност биха довели до много фалшиви положителни резултати. Ние се „връщаме“ към проследяването на заплахите, които превземат домейни, като първо разбираме как действат те поотделно и след това проследяваме това поведение.“

Важен аспект, който е общ за атаките на Sitting Ducks, е ротационното отвличане, при което един домейн се превзема многократно от различни заплахи с течение на времето.

„Заплахите често използват използваеми доставчици на услуги, които предлагат безплатни акаунти като DNS Made Easy, като библиотеки за заемане, обикновено отвличайки домейни за 30 до 60 дни; но сме виждали и други случаи, в които участниците задържат домейна за дълъг период от време“, отбелязват от Infoblox.

„След изтичането на краткосрочния безплатен акаунт домейнът се „губи“ от първия извършител и след това се паркира или се заявява от друг.“

По-долу са изброени някои от известните действащи лица за заплахи в областта на DNS, за които е установено, че „пируват“ с атаки от типа „Sitting Ducks“.

• Vacant Viper, който го е използвал за управление на 404 TDS, наред с провеждането на злонамерени спам операции, доставяне на порнография, установяване на командване и контрол (C2) и пускане на зловреден софтуер като DarkGate и AsyncRAT (в ход от декември 2019 г.)
• Horrid Hawk, който го е използвал за провеждане на схеми за инвестиционни измами, като е разпространявал отвлечените домейни чрез краткотрайни реклами във Facebook (продължава поне от февруари 2023 г.)
• Hasty Hawk, който го е използвал за провеждане на широкоразпространени фишинг кампании, имитиращи предимно страници за доставка на DHL и фалшиви сайтове за дарения, които имитират supportukrainenow[.]org и твърдят, че подкрепят Украйна (в ход поне от март 2022 г.)
• VexTrio Viper, която е използвала за управление на своите ТДС (в ход от началото на 2020 г.)

Според Infoblox редица филиали на VexTrio Viper, като GoRefresh, също са участвали в атаки на Sitting Ducks, за да провеждат фалшиви онлайн фармацевтични кампании, както и измами с хазарт и запознанства.

„Имаме няколко колектива, които изглежда използват домейните за зловреден софтуер C2, при който екфилтрацията се изпраща чрез пощенски услуги“, каза Бъртън. „Докато други ги използват за разпространение на спам, тези участници конфигурират DNS домейните си само за получаване на поща.“

Това показва, че лошите  използват иззетите домейни по широк спектър от причини, като по този начин излагат както бизнеса, така и физическите лица на риск от зловреден софтуер, кражба на удостоверения и измами.

„Открихме няколко участници, които са отвлекли домейни и са ги задържали за дълги периоди от време, но не успяхме да определим целта на отвличането“, заключава Infoblox. „Тези домейни обикновено имат висока репутация и обикновено не се забелязват от доставчиците на услуги за сигурност, което създава среда, в която хитри извършители могат да доставят зловреден софтуер, да извършват необуздани измами и да фишират потребителски идентификационни данни без последствия.“