Hyökkääjät ovat vaarantaneet yli 8,000 XNUMX aliverkkotunnusta tunnetuilta brändeiltä ja instituutioilta laajentaakseen Phishing kampanja, joka lähettää päivittäin miljoonia haitallisia sähköposteja.
MSN, VMware, McAfee, The Economist, Cornell University, CBS, Marvel ja eBay ovat "SubdoMailingin" jumiin jääneitä kokonaisuuksia – jotka ovat nimenneet Guardio Labsin tutkijat, jotka löysivät kampanjan, joka on suuremman kyberrikollisen yrityksen ydin. ja heikentää vaarantuneiden organisaatioiden luottamusta ja uskottavuutta, he sanoivat.
"Paljaseen operaatioon liittyy tuhansien suurille brändeille kuuluvien tai niihin sidoksissa olevien kaapattujen aliverkkotunnusten manipulointi", Guardio Labsin kyberturvallisuuden johtaja Nati Tal ja tietoturvatutkija Oleg Zaytsev kirjoitti postauksessa sisällönjakoalustalla Medium. "Näiden verkkotunnusten monimutkaiset DNS-manipulaatiot mahdollistivat valtavien määrien roskapostin ja vain haitallisten sähköpostien lähettämisen, jotka oli valtuutettu kansainvälisesti tunnustettujen tuotemerkkien varjolla."
Kampanja on muotoiltu siten, että sähköpostit näyttävät tulevan luotetuilta verkkotunnuksilta ja ohittavat kaikki alan standardit. sähköpostin turvatoimia tyypillisesti paikallaan estämään epäilyttävät viestit, mukaan lukien SPF (Sender Policy Framework), DKIM, SMTP-palvelin ja DMARC laajennus, tutkijat sanoivat.
Kaappausjärjestelmän löytäminen
Guardio kertoo viestissä yksityiskohtaisesti, kuinka se paljasti operaation sen jälkeen, kun sen sähköpostin suojausjärjestelmät ilmoittivat sähköpostin epätavallisista kaavoista sähköpostin metatiedoissa. Se lähetti tutkijat alas kaninkoloon, joka lopulta johti pitkään lakkautettuun kumppanuuteen elämäntapaguru Martha Stewartin ja MSN.comin välillä.
Mainittu esimerkki oli "erityisen salakavala sähköposti", joka varoittaa jollekin epäilyttävästä toiminnasta pilvitallennustilillä, joka päätyi käyttäjän "ensisijaiseen" postilaatikkoon, kun se olisi pitänyt merkitä roskapostiksi.
Sähköposti, joka on luotu kuvana tekstipohjaisten roskapostisuodattimien välttämiseksi, käynnistää joukon napsautusten uudelleenohjauksia eri verkkotunnusten kautta, mikä on tyypillistä tietojenkalastelukampanjoille. Uudelleenohjaukset tarkistavat tässä tapauksessa uhrin laitetyypin ja maantieteellisen sijainnin ja ohjaavat hänet erilaisiin voittojen maksimoimiseksi räätälöityihin sisältöihin, kuten mainoksiin, tietokilpailukameroihin johtaviin kumppanuuslinkkeihin, tietojenkalastelusivustoihin tai jopa haittaohjelmiin.
Seuratessaan sähköpostin liukumista suojaustarkistuksen ja suojauksen ohi, tutkijat löysivät heidän mielestään "klassisen aliverkkotunnuksen". kaappaussuunnitelma.” Vaikka sähköposti oli peräisin Kiovan SMTP-palvelimelta 62.244.33.18, se merkittiin lähetetyksi [sähköposti suojattu].
Tämä näyttäisi pinnalta lainmukaiselta, tutkijat totesivat; Kuitenkin skenaariossa msn.com-aliverkkotunnus valtuutti SMTP-palvelimen numerossa 62.244.33.18 lähettämään sähköposteja, mikä kyseenalaistaa tämän hyväksymisprosessin laillisuuden, he sanoivat.
Tarkastellessaan lähemmin aliverkkotunnuksen marthastewart.msn.com DNS-tietuetta, tutkijat havaitsivat, että se oli linkitetty vielä toiseen verkkotunnukseen, jolla on CNAME-tietue, msnmarthastewartsweeps.com. Tämä tarkoittaa, että "aliverkkotunnus perii msnmarthastewartsweeps.comin koko toiminnan, mukaan lukien sen SPF-käytännön", viestin mukaan.
Tutkimuksessa havaittiin edelleen, että SPF-käytäntö käyttää syntaksia, joka mahdollistaa hyväksyttyjen lähettäjien IP-luettelon laajentamisen muiden verkkotunnusten SPF-tietueilla. Kun he tiedustelivat rekursiivisesti SPF-tietuetta, he löysivät luettelon 17,826 62.244.33.18 IP-osoitteesta, niiden joukossa XNUMX, mikä periaatteessa salli kaikkien näiden osoitteiden hyväksymisen kaapatun MSN.com-aliverkkotunnuksen alla. Tämä antaa viime kädessä näiltä verkkotunnuksilta lähetetyt sähköpostit läpäistä myös muita suojauksia, tutkijat sanoivat.
Lopulta Guardio seurasi msnmarthastewartsweeps.com-aliverkkotunnusta 22 vuoden takaiseen mainoskampanjaan. Vaikka verkkotunnus oli hylätty 21 vuodeksi, se rekisteröitiin uudelleen yksityisesti Namecheapille syyskuussa 2022.
"Nyt verkkotunnuksen omistaa tietty toimija, joka hallitsee DNS-tietueita ja sen seurauksena myös MSN-aliverkkotunnuksen tietueita", tutkijat kirjoittivat. "Joten tässä tapauksessa näyttelijä voi lähettää sähköposteja kenelle tahansa haluamalleen, ikään kuin msn.com ja heidän hyväksytyt postittajat olisivat lähettäneet ne sähköpostit."
Yksittäinen uhkanäyttelijä
Guardio pitää laajan kampanjan ansioksi "ResurrecAds"-nimellä jäljitetty uhkatoimija, joka käyttää strategiaa elvyttää "kuolleita" verkkotunnuksia suurille brändeille/tai jotka ovat sidoksissa suuriin brändeihin, jotta niitä voidaan käyttää takaovina hyödyntääkseen laillisia palveluita ja brändejä kohti perimmäistä tavoitetta hyötyä. "Ad-Network" entiteetti.
"Tämän lähestymistavan avulla he voivat kiertää nykyaikaisia sähköpostin suojaustoimenpiteitä, mikä osoittaa heidän taitonsa manipuloida digitaalisen mainonnan ekosysteemiä ilkeiden hyötyjen saamiseksi", tutkijat kirjoittivat.
Osana haitallista toimintaansa näyttelijä etsii jatkuvasti Internetistä kunnioitettujen tuotemerkkien unohdettuja aliverkkotunnuksia löytääkseen mahdollisuuksia ostaa tai vaarantaa ne haitallisen sähköpostin levittämiseksi, Guardion mukaan.
Tässä tehtävässä ResurrecAds on koonnut "suuren verkoston sekä kaapattuja että tarkoituksellisesti hankittuja verkkotunnuksia ja IP-omaisuutta, mikä osoittaa korkeaa organisaatiotasoa ja teknistä kehittyneisyyttä tämän laajan toiminnan ylläpitämisessä", tutkijat sanoivat.
Tarkistetaan kompromissia
Kampanja osoittaa kasvavaa hienostuneisuutta Haitallisista sähköpostikampanjoista, joita on ollut olemassa lähes tämän digitaalisen viestinnän muodon alusta lähtien, mutta jotka kehittyvät edelleen, kun myös suojaussuojat, kuten SPM, DKIM ja DMARC, kehittyvät ja puolustajat käyttävät niitä laajemmin.
”Tutkimuksemme on paljastanut, että uhkatoimijat eivät vain reagoi turvatoimiin; he ovat olleet ennakoivasti sopeutumaan ja kehittyy jonkin aikaa", tutkijat kirjoittivat.
Koska toiminta on niin rehottavaa ja edelleen aktiivista, Guardio loi erityinen verkkosivusto SubdoMailing Checker -työkalulla, jolla tarkistetaan, käytetäänkö toiminnassa sivuston hylättyä verkkotunnusta.
Sivua päivitetään päivittäin uusimmilla verkkotunnuksilla, joihin Guardion järjestelmät ovat havainneet CNAME- ja SPF-pohjaisen kaappauksen, ja se antaa organisaatioille "kaikki tiedot tunnetuista väärinkäytöksistä, kaappauksen tyypeistä ja tarpeellisista aliverkkotunnuksista ja SPF-tietueista. huomiota", tutkijat selittivät.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/application-security/ebay-vmware-mcafee-sites-hijacked-sprawling-phishing-operation
