Новости Sitting Ducks: 35 000 доменов захвачены кибербандитами без шума и пыли

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Исследователи обнаружили масштабную схему присвоения чужих веб-страниц.


vdeu76rcn6z137o3zlekme9vsd7vqhz2.jpg


Киберпреступники захватили более 35 000 зарегистрированных доменов, используя атаку, названную исследователями «Sitting Ducks» . Этот метод позволяет злоумышленникам захватывать домены без доступа к учётной записи владельца у DNS -провайдера или регистратора.

В ходе атаки Sitting Ducks, киберпреступники эксплуатируют недостатки конфигурации на уровне регистратора и недостаточную проверку владения у DNS-провайдеров. Исследователи из компаний Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся выявили, что ежедневно с помощью этой атаки может быть захвачено более миллиона доменов.

Многочисленные киберпреступные группы уже несколько лет используют данный метод для рассылки спама, мошенничества, доставки вредоносного ПО, фишинга и кражи данных. Проблема впервые была задокументирована в 2016 году Мэтью Брайантом, инженером по безопасности компании Snap.

Для успешного проведения атаки необходимо выполнение нескольких условий: домен должен использовать или делегировать авторитетные DNS-услуги провайдеру, отличному от регистратора; авторитетный DNS-сервер не должен уметь разрешать запросы; DNS-провайдер должен позволять заявлять права на домен без проверки владения.

Если указанные условия выполняются, злоумышленники могут захватить домен. Вариации атаки включают частично неверную делегацию и перенаправление к другому DNS-провайдеру. В случае истечения срока действия DNS-услуг или веб-хостинга для целевого домена, атакующий может заявить права на домен, создав учётную запись у DNS-провайдера.

Infoblox и Eclypsium наблюдали многочисленные случаи эксплуатации Sitting Ducks с 2018 и 2019 годов. За это время было зафиксировано более 35 000 случаев захвата доменов этим способом. Обычно киберпреступники удерживали домены недолгое время, но в некоторых случаях домены оставались под контролем злоумышленников до года.

Известно о нескольких хакерских группах, использующих эту атаку:

  • «Spammy Bear» — захватывала домены GoDaddy в конце 2018 года для рассылки спама.
  • «Vacant Viper» — с декабря 2019 года ежегодно захватывает около 2500 доменов для системы 404TDS, распространяющей IcedID и создающей C2-домены для вредоносного ПО.
  • «VexTrio Viper» — с начала 2020 года использует домены для системы массового распределения трафика, способствующей операциям SocGholish и ClearFake.
Некоторые домены были последовательно захвачены несколькими различными группами, использовавшими их для фишинга, рассылки спама и создания сетей для распространения вредоносного ПО.

Владельцам доменов рекомендуется регулярно проверять свои DNS-конфигурации на предмет неправильных делегаций, особенно для старых доменов. Регистраторы, в свою очередь, должны проводить проактивные проверки и уведомлять владельцев о проблемах. Регуляторы и стандартизирующие органы должны разработать долгосрочные стратегии для решения уязвимостей DNS и требовать от DNS-провайдеров активных действий по снижению риска атак типа Sitting Ducks.
 
Источник новости
www.securitylab.ru

Похожие темы