新たに発見された攻撃者は、巧妙に設計されたトラフィック分散システム (TDS) を介して投資詐欺を実行しています。TDS は、悪意のあるドメインを常に変更し、削除に耐えるようにドメイン ネーム システム (DNS) を利用しています。
「Savvy Seahorse」は、Meta や Tesla などの大手ブランド名になりすまし、9 か国語の Facebook 広告を通じて被害者を誘い込み、偽の投資プラットフォームでアカウントを作成させます。被害者が自分の口座に資金を投入すると、その資金はおそらく攻撃者が管理するロシア国営銀行の口座に送られる。
よくある種類の詐欺です。 連邦取引委員会 (FTC) によると, 米国の消費者は、4.6年だけで投資詐欺により2023億ドルの損失を被ったと報告している。これはあらゆる形態の詐欺によって失われたと報告されている10億ドルの半分近くに相当し、最も収益性の高い詐欺行為となっている。
したがって、Savvy Seahorse を他のパックから区別するのは、その策略の性質ではなく、むしろそれをサポートするインフラストラクチャです。
Infoblox の新しいレポートで概説されているように、同社は数千の多様で流動的なドメインを含む TDS を運用しています。システム全体をまとめているのは、正規名 (CNAME) レコードです。これは、テセウスの船のように、TDS が実際には何も変更せずに新しいドメインを継続的に作成したり、古いドメインを削除したりできるようにするために使用される、DNS の当たり障りのないプロパティです。キャンペーン自体について。
DNS 経由で強化される TDS 攻撃
「私たちは通常、TDS が HTTP の世界にあるものだと考えています。接続が入ってくると、私はあなたのデバイスの指紋を採取し、あなたの指紋に基づいて、マルウェアや詐欺に送り込んだり、サービスを拒否したりするかもしれません」と Renee Burton 氏は説明します。 Infoblox の脅威インテリジェンスの責任者。
実際、近年、サイバー犯罪エコシステム全体が HTTP ベースの TDS ネットワークを中心に発展してきました。 VexTrio が運営するもの。 HTTP は、攻撃者が被害者 (モバイルかデスクトップかに関係なくブラウザなど) から取得できるすべてのメタデータにとって推奨されます。
「ほとんどの場合、私たちは TDS を無視します」と彼女は続けます。「そして、たとえ注意を払ったとしても、それをこの狭い枠組みで考えてしまいます。しかし、過去 2 年半で私たちが発見したのは、実際にはトラフィック分散システムの概念全体が実際には DNS 内に存在しているだけだということです。」
実際、Savvy Seahorse は新しいものではなく、少なくとも 2021 年 XNUMX 月から運用されており、完全にユニークというわけでもありません。他のグループも同様の DNS ベースのトラフィック分散を実行していますが、これまでのところセキュリティ関連の文献には記載されていません。では、この戦略はどのように機能するのでしょうか?
Savvy Seahorse が CNAME を悪用する方法
この場合、すべては CNAME レコードに帰着します。
DNS では、CNAME により、複数のドメインを同じベース (正規) ドメインにマッピングできます。たとえば、ベース ドメイン「darkreading.com」には、www.darkreading.com、darkreading.xyz、 さらに多くのサブドメイン。この基本的な機能は、正規の組織だけでなく、明らかにサイバー攻撃者も同様に所有する、大規模で扱いにくく、変化し続けるドメインのグループを組織するのに役立ちます。
Burton 氏は次のように説明しています。「CNAME レコードが Savvy Seahorse にもたらす役割は、具体的には、業務を非常に迅速に拡張し、移行できるようにすることです。したがって、誰かがフィッシング サイトの 1 つを閉鎖するたびに (多くのフィッシング サイトではかなり頻繁に起こっています)、彼らがしなければならないことは、新しいサイトに移動することだけです。彼らは基本的にいたるところに[同じコンテンツの]ミラーを持っており、CNAMEをそれらのミラーへのマップとして使用しています。」
IP についても同様です。誰かが Savvy Seahorse のホスティング インフラストラクチャをシャットダウンしようとしても、すぐに CNAME を別のアドレスに向けることができます。これにより、回復力があるだけでなく、回避することも可能になり、サブドメインのいずれかを宣伝するのは平均して 5 ~ 10 日間だけです (おそらく、サブドメインの交換が非常に簡単であるためです)。
また、CNAME により、攻撃者は最初からより堅牢な TDS を開発できるようになります。
CNAME が攻撃者と防御者のゲームをどのように変えるか
攻撃者は、単に一度に多くのことをやりくりすることを避けるために、単一のレジストラを通じてすべてのドメインを一括して登録し、単一のインターネット サービス プロバイダー (ISP) を使用してすべてを管理する傾向があります。 (彼らにとっての) 欠点は、これにより、サイバー防御者が共通の登録メタデータを介してすべてのドメインを簡単に発見できることです。
次に、Savvy Seahorse について考えてみましょう。同社は 30 社以上のドメイン レジストラと 21 社の ISP を利用して 4,200 のドメインをホストしています。使用するレジストラ、ISP、ドメインの数に関係なく、最終的には、それらはすべて CNAME を介して単一のベース ドメイン b36cname[.]site に関連付けられます。
しかし、ここにも落とし穴があります。アキレス腱。 CNAME は、Savvy Seahorse の道標であると同時に、単一障害点でもあります。
「不正なドメイン名は 4,000 ほどありますが、不正な CNAME は XNUMX つだけです」と Burton 氏は指摘します。したがって、Savvy Seahorse のようなグループから防御するには、非常に困難な方法が XNUMX つ必要になる場合もあれば、まったく簡単な方法が XNUMX つ必要になる場合もあります。 「[CNAME が指す] XNUMX つのベース ドメインをブロックするだけで済みます。脅威インテリジェンスの観点からは、一撃ですべてを破壊できます。」
Burton 氏は、攻撃者が多数の CNAME を使用して悪意のあるネットワークを構築できないという規則はありませんが、「ほとんどの場合、CNAME は集約されます。非常に大規模なシステムであっても、それらははるかに小さい CNAME セットに集約されていることがわかります。」
"なぜ?"彼女は「捕まらないからかもしれない」と尋ねた。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/vulnerabilities-threats/savvy-seahorse-hackers-debut-novel-dns-cname-trick
