'Slimme Seahorse'-hackers debuteren met nieuwe DNS CNAME-truc

Een nieuw ontdekte dreigingsactor voert een investeringszwendel uit via een slim ontworpen verkeersdistributiesysteem (TDS), dat misbruik maakt van het Domain Name System (DNS) om zijn kwaadaardige domeinen voortdurend te laten veranderen en bestand te maken tegen verwijderingen.

‘Savvy Seahorse’ imiteert grote merknamen als Meta en Tesla – en verleidt slachtoffers via Facebook-advertenties in negen talen om accounts aan te maken op een nep-investeringsplatform. Zodra de slachtoffers hun rekeningen hebben gefinancierd, wordt het geld doorgesluisd naar een vermoedelijk door de aanvaller gecontroleerde rekening bij een Russische staatsbank.

Het is een veel voorkomende vorm van oplichting. Volgens de Federal Trade Commission (FTC)Amerikaanse consumenten meldden dat ze alleen al in 4.6 2023 miljard dollar verloren door investeringsfraude. Dat is bijna de helft van de 10 miljard dollar die naar verluidt verloren is gegaan door alle vormen van oplichting, waardoor dit de meest winstgevende soort is die er is.

Dus wat Savvy Seahorse onderscheidt van de rest is niet het karakter van zijn list, maar eerder de infrastructuur die deze ondersteunt.

Zoals uiteengezet in een nieuw rapport van Infoblox, beheert het een TDS met duizenden gevarieerde en vloeiende domeinen. Wat het hele systeem bij elkaar houdt is een Canonical Name (CNAME)-record, een verder saaie eigenschap van DNS die het gebruikt om ervoor te zorgen dat, net als het schip van Theseus, zijn TDS voortdurend nieuwe domeinen kan creëren en oude domeinen kan afwerpen zonder echt iets te veranderen. over de campagne zelf.

TDS-aanvallen worden versterkt via DNS

"Normaal gesproken denken we dat TDS zich in de HTTP-wereld bevindt - er komt een verbinding binnen, ik neem een vingerafdruk van je apparaat en, op basis van je vingerafdrukken, kan ik je naar malware of oplichting sturen, of ik kan de service weigeren", legt Renée Burton uit, hoofd van de dreigingsinformatie bij Infoblox.

De afgelopen jaren hebben zich hele ecosystemen voor cybercriminaliteit ontwikkeld rond op HTTP gebaseerde TDS-netwerken degene die wordt beheerd door VexTrio. HTTP heeft de voorkeur voor alle metagegevens die aanvallers van slachtoffers kunnen vastleggen: hun browser, of ze nu mobiel of desktop zijn, enzovoort.

“Meestal negeren we TDS’s,” vervolgt ze, “en als we er wel op letten, denken we erover in dit beperkte kader. Maar wat we de afgelopen tweeënhalf jaar hebben ontdekt, is dat er in werkelijkheid een heel concept van verkeersdistributiesystemen bestaat dat eigenlijk alleen maar in DNS bestaat.”

Savvy Seahorse is inderdaad niet nieuw – het bestaat al sinds augustus 2021 – en het is ook niet geheel uniek – andere groepen voeren een vergelijkbare DNS-gebaseerde verkeersdistributie uit, maar tot nu toe is er geen enkele beschreven in de beveiligingsliteratuur. Dus hoe werkt deze strategie?

Hoe slimme Seahorse CNAME misbruikt

In dit geval komt het allemaal neer op CNAME-records.

In DNS zorgt CNAME ervoor dat meerdere domeinen kunnen worden toegewezen aan hetzelfde basisdomein (canoniek). Het basisdomein “darkreading.com” kan bijvoorbeeld CNAME-records hebben voor www.darkreading.com, darkreading.xyz, en nog veel meer subdomeinen. Deze basisfunctie kan helpen bij het organiseren van een anderszins grote, logge en wisselende groep domeinen die eigendom zijn van legitieme organisaties en, uiteraard, van zowel cyberaanvallers.

Burton legt uit: “Wat dat CNAME-record vooral voor Savvy Seahorse doet, is dat het hen in staat stelt hun activiteiten heel snel op te schalen en te verplaatsen. Dus elke keer dat iemand een van zijn phishingsites sluit (wat bij veel van hen vrij vaak gebeurt), hoeft hij alleen maar naar een nieuwe te verhuizen. Ze hebben feitelijk overal mirrors [met dezelfde inhoud] en ze gebruiken de CNAME als de kaart voor die mirrors.”

Hetzelfde werkt voor IP's: mocht iemand proberen de hostinginfrastructuur van Savvy Seahorse af te sluiten, dan kan hij zijn CNAME in een mum van tijd naar een ander adres verwijzen. Hierdoor kan het niet alleen veerkrachtig zijn, maar ook ontwijkend, en gemiddeld slechts vijf tot tien dagen reclame maken voor een van zijn subdomeinen (waarschijnlijk omdat het voor hen zo gemakkelijk is om ze in en uit te wisselen).

CNAME geeft de bedreigingsacteur ook de vrijheid om vanaf het begin een robuuster TDS te ontwikkelen.

Hoe CNAME het spel voor aanvallers en verdedigers verandert

Aanvallers hebben de neiging al hun domeinen in bulk te registreren via één enkele registrar en één enkele internetprovider (ISP) te gebruiken om ze allemaal te beheren, eenvoudigweg om te voorkomen dat ze te veel tegelijk moeten doen. Het nadeel (voor hen) is dat dit het voor cyberverdedigers gemakkelijk maakt om al hun domeinen te ontdekken, via hun gemeenschappelijke registratiemetagegevens.

Neem nu Savvy Seahorse, dat niet minder dan 30 domeinregistreerders en 21 ISP's heeft ingezet om 4,200 domeinen te hosten. Het maakt niet uit hoeveel registrars, ISP's of domeinen ze gebruiken, uiteindelijk zijn ze allemaal via CNAME gekoppeld aan één enkel basisdomein: b36cname[.]site.

Maar er zit hier ook een addertje onder het gras. Een achilleshiel. CNAME is zowel de leidraad van Savvy Seahorse als het enige punt van mislukking.

"Er zijn ongeveer 4,000 slechte domeinnamen, maar er is maar één slechte CNAME", benadrukt Burton. Je verdedigen tegen een groep als Savvy Seahorse kan dus een ongelooflijk moeizaam pad zijn, of een heel gemakkelijk pad. “Het enige wat je hoeft te doen is het ene basisdomein [waar de CNAME naar verwijst] blokkeren en, vanuit het perspectief van bedreigingsinformatie, kun je alles met één klap vernietigen.”

Er is geen regel die zegt dat aanvallers geen kwaadaardige netwerken kunnen opbouwen met behulp van veel CNAME's, legt Burton uit, maar “meestal aggregeren ze wel. Zelfs in de allergrootste systemen zien we ze samenkomen in een veel kleinere set CNAME’s.”

"Waarom?" vraagt ze: “Misschien omdat ze niet gepakt worden.”

Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
Bron: https://www.darkreading.com/vulnerabilities-threats/savvy-seahorse-hackers-debut-novel-dns-cname-trick

Generatieve data-intelligentie

'Slimme Seahorse'-hackers debuteren met nieuwe DNS CNAME-truc

TDS-aanvallen worden versterkt via DNS

Hoe slimme Seahorse CNAME misbruikt

Hoe CNAME het spel voor aanvallers en verdedigers verandert

BDAG leidt de top 5 van veelbelovende crypto-voorverkoop van 2024

Hoe u het marktsentiment kunt beoordelen voordat u cryptocurrency koopt

Laatste intelligentie

BlockDAG's liquiditeits- en vestingperiode van $ 100 miljoen te midden van SOL-netwerkproblemen en DOT-prijsvoorspellingen

Rainbet- en Crypto-casino's: leiders van het peloton

Ongeveer 87% van de crypto-miljonairs gelooft niet dat ze hun crypto voor altijd zullen verliezen – The Daily Hodl

Forbes onthult 20 crypto-zombies, verklaart Ripple en XRP onder de ondoden

Bitcoin Bloodbath: Crypto-analist ziet 'Death Cross' na prijsdaling van 8%

AIEMP kondigt lancering aan van innovatief AI-beveiligingsproject