شعار زيفيرنت

هاكرز "Savvy Seahorse" يظهرون لأول مرة خدعة DNS CNAME الجديدة

التاريخ:

يقوم أحد ممثلي التهديد المكتشف حديثًا بإجراء عملية احتيال استثمارية من خلال نظام توزيع حركة المرور (TDS) المصمم بذكاء، والذي يستفيد من نظام اسم المجال (DNS) للحفاظ على نطاقاته الضارة دائمة التغير ومقاومة لعمليات الإزالة.

ينتحل "Savvy Seahorse" أسماء تجارية كبرى مثل Meta وTesla، ومن خلال إعلانات فيسبوك بتسع لغات، يجذب الضحايا إلى إنشاء حسابات على منصة استثمار مزيفة. وبمجرد قيام الضحايا بتمويل حساباتهم، يتم تحويل الأموال إلى حساب يُفترض أنه يسيطر عليه المهاجم في أحد البنوك الروسية المملوكة للدولة.

إنه نوع شائع من الاحتيال. وفقًا للجنة التجارة الفيدرالية (FTC)وأفاد المستهلكون الأمريكيون عن خسارة 4.6 مليار دولار بسبب عمليات الاحتيال الاستثماري في عام 2023 وحده. وهذا ما يقرب من نصف الـ 10 مليارات دولار التي تم الإبلاغ عن فقدانها بسبب جميع أشكال عمليات الاحتيال، مما يجعلها النوع الأكثر ربحية على الإطلاق.

لذا فإن ما يفصل Savvy Seahorse عن المجموعة ليس طبيعة حيلتها، بل البنية التحتية التي تدعمها.

كما هو موضح في تقرير جديد من Infoblox، فإنه يقوم بتشغيل TDS مع الآلاف من المجالات المتنوعة والمرنة. إن ما يبقي النظام بأكمله معًا هو سجل الاسم القانوني (CNAME)، وهو خاصية لطيفة لنظام DNS يستخدمها للتأكد من أنه، مثل سفينة ثيسيوس، يمكن لنظام TDS الخاص به إنشاء نطاقات جديدة بشكل مستمر والتخلص من النطاقات القديمة دون تغيير أي شيء على الإطلاق عن الحملة نفسها.

يتم شحن هجمات TDS عبر DNS

يوضح رينيه بيرتون: "نعتقد عادةً أن TDS موجود في عالم HTTP - يأتي اتصال، وأقوم بأخذ بصمة جهازك، وبناءً على بصمات أصابعك، قد أرسلك إلى بعض البرامج الضارة أو الاحتيال أو قد أرفض الخدمة". رئيس استخبارات التهديد في Infoblox.

في الواقع، تطورت أنظمة بيئية كاملة للجرائم الإلكترونية حول شبكات TDS المستندة إلى HTTP في السنوات الأخيرة، مثل الذي تديره VexTrio. يُفضل HTTP لجميع البيانات الوصفية التي يسمح للمهاجمين بالتقاطها من الضحايا: متصفحهم، سواء كانوا على الهاتف المحمول أو سطح المكتب، وما إلى ذلك.

وتتابع قائلة: "في الغالب نتجاهل المواد الصلبة الذائبة، وإذا انتبهنا إليها، فإننا نفكر في الأمر ضمن هذا الإطار الضيق. ولكن ما اكتشفناه على مدار العامين ونصف العام الماضيين هو أنه، في الواقع، يوجد بالفعل مفهوم كامل لأنظمة توزيع حركة المرور الموجودة بالفعل في DNS."

في الواقع، Savvy Seahorse ليس جديدًا - فهو يعمل منذ أغسطس 2021 على الأقل - كما أنه ليس فريدًا تمامًا - حيث تقوم مجموعات أخرى بتوزيع حركة المرور على أساس DNS مماثل، ولكن لم يتم وصف أي منها حتى الآن في الأدبيات الأمنية. فكيف تعمل هذه الاستراتيجية؟

كيف يسيء فرس البحر والدهاء إلى CNAME

في هذه الحالة، يعود الأمر كله إلى سجلات CNAME.

في DNS، يسمح CNAME لمجالات متعددة بالتعيين إلى نفس المجال الأساسي (المتعارف عليه). على سبيل المثال، قد يحتوي النطاق الأساسي "darkreading.com" على سجلات CNAME لـ www.darkreading.com، وdarkreading.xyz، والعديد من النطاقات الفرعية. يمكن أن تساعد هذه الوظيفة الأساسية في تنظيم مجموعة كبيرة وغير عملية ومتغيرة من النطاقات المملوكة للمنظمات الشرعية، ومن الواضح، للمهاجمين السيبرانيين على حد سواء.

كما يوضح بيرتون، "ما يفعله سجل CNAME لشركة Savvy Seahorse، على وجه التحديد، هو أنه يسمح لهم بتوسيع نطاق عملياتهم ونقلها بسرعة كبيرة. لذا، في كل مرة يقوم شخص ما بإغلاق أحد مواقع التصيد الخاصة به - وهو ما يحدث كثيرًا للكثير منهم - كل ما عليهم فعله هو الانتقال إلى موقع جديد. لديهم مرايا [من نفس المحتوى]، بشكل أساسي، في كل مكان، ويستخدمون CNAME كخريطة لتلك المرايا.

وينطبق الشيء نفسه على عناوين IP - إذا حاول أي شخص إغلاق البنية التحتية لاستضافة Savvy Seahorse، فيمكنه فقط توجيه CNAME الخاص به إلى عنوان مختلف في أي لحظة. وهذا لا يمكّنها من أن تكون مرنة فحسب، بل مراوغة، حيث تعلن عن أي من نطاقاتها الفرعية لمدة خمسة إلى عشرة أيام فقط في المتوسط ​​(ربما لأنه من السهل جدًا عليهم استبدالها بالدخول والخروج).

يحرر CNAME أيضًا جهة التهديد لتطوير TDS أكثر قوة منذ البداية.

كيف يغير CNAME اللعبة بالنسبة للمهاجمين والمدافعين

يميل المهاجمون إلى تسجيل جميع النطاقات الخاصة بهم بشكل جماعي من خلال مسجل واحد، واستخدام مزود خدمة إنترنت واحد (ISP) لإدارتها جميعًا، وذلك ببساطة لتجنب الاضطرار إلى التوفيق بين الكثير في وقت واحد. الجانب السلبي (بالنسبة لهم) هو أن هذا يجعل من السهل على المدافعين السيبرانيين اكتشاف جميع نطاقاتهم، عبر بيانات تعريف التسجيل المشتركة الخاصة بهم.

الآن فكر في Savvy Seahorse، التي استخدمت ما لا يقل عن 30 مسجل نطاق و21 مزود خدمة إنترنت لاستضافة 4,200 نطاق. بغض النظر عن عدد المسجلين أو مزودي خدمات الإنترنت أو النطاقات التي يستخدمونها، في النهاية، جميعهم مرتبطون عبر CNAME بنطاق أساسي واحد: موقع b36cname[.]site.

ولكن هناك مشكلة هنا أيضًا. كعب أخيل. يعد CNAME هو النجم الذي يهتدي به Savvy Seahorse، ونقطة فشله الوحيدة.

ويشير بيرتون إلى أن "هناك ما يقرب من 4,000 اسم نطاق سيئ، ولكن يوجد اسم CNAME واحد فقط سيئ". إن الدفاع ضد مجموعة مثل Savvy Seahorse يمكن أن يتضمن مسارًا واحدًا مجهدًا بشكل لا يصدق، أو طريقًا سهلاً تمامًا. "كل ما عليك فعله هو حظر النطاق الأساسي الوحيد [الذي يشير إليه CNAME]، ومن منظور استخبارات التهديدات، يمكنك القضاء على كل شيء بضربة واحدة."

يوضح بيرتون أنه لا توجد قاعدة تنص على أن المهاجمين لا يمكنهم إنشاء شبكات ضارة باستخدام العديد من أسماء CNAME، ولكن "في الغالب يقومون بذلك بشكل مجمع. وحتى في الأنظمة الأكبر حجمًا، نراها مجمعة في مجموعة أصغر بكثير من ملفات CNAME.

"لماذا؟" تسأل: "ربما لأنه لم يتم القبض عليهم".

بقعة_صورة

أحدث المعلومات الاستخباراتية

بقعة_صورة

الدردشة معنا

أهلاً! كيف يمكنني مساعدك؟