الأمن السيبراني , , , , , , , , , , ,

الخبراء يكشفون عن 70,000 نطاقًا مسروقًا في مخطط هجوم “Sitting Ducks” واسع النطاق

الخبراء يكشفون عن 70,000 نطاقًا مسروقًا في مخطط هجوم “Sitting Ducks” واسع النطاق


الخبراء يكشفون عن 70,000 نطاقًا مسروقًا في مخطط هجوم “Sitting Ducks” واسع النطاق

تم اكتشاف أن العديد من الجهات الفاعلة في مجال التهديد تستفيد من تقنية الهجوم التي تسمى Sitting Ducks لاختطاف النطاقات المشروعة لاستخدامها في هجمات التصيد الاحتيالي ومخططات الاحتيال الاستثماري لسنوات.

ال النتائج تأتي من Infoblox، التي قالت إنها حددت ما يقرب من 800000 نطاق مسجل معرض للخطر خلال الأشهر الثلاثة الماضية، منها ما يقرب من 9٪ (70000) تم اختطافها لاحقًا.

وقالت شركة الأمن السيبراني في تقرير متعمق تمت مشاركته مع The Hacker News: “لقد استخدم مجرمو الإنترنت هذا الموجه منذ عام 2018 لاختطاف عشرات الآلاف من أسماء النطاقات”. “تشمل نطاقات الضحية العلامات التجارية المعروفة والمنظمات غير الربحية والهيئات الحكومية.”

ومع ذلك، فإن ناقل الهجوم غير المعروف موثقة أصلا التي كتبها الباحث الأمني ​​ماثيو براينت في عام 2016، لم تجتذب الكثير من الاهتمام حتى تم الكشف عن حجم عمليات الاختطاف في وقت سابق من شهر أغسطس.

الأمن السيبراني

“أعتقد أن هناك المزيد من الوعي [since then]”، قال الدكتور رينيه بيرتون، نائب رئيس استخبارات التهديدات في Infoblox، لصحيفة The Hacker News. “على الرغم من أننا لم نشهد انخفاضًا في عدد عمليات الاختطاف، إلا أننا رأينا عملاء مهتمين جدًا بالموضوع وممتنين للوعي حول أنفسهم. المخاطر المحتملة.

يسمح هجوم Sitting Ducks، في جوهره، لممثل خبيث بالسيطرة على المجال من خلال الاستفادة من التكوينات الخاطئة في نظام اسم المجال الخاص به (DNS) إعدادات. يتضمن ذلك السيناريوهات التي يشير فيها نظام أسماء النطاقات (DNS) إلى خادم الاسم الرسمي الخاطئ.

ومع ذلك، هناك بعض المتطلبات الأساسية لتحقيق ذلك: يقوم النطاق المسجل بتفويض خدمات DNS الموثوقة إلى مزود مختلف عن مسجل النطاق، الوفد أعرجويمكن للمهاجم “المطالبة” بالمجال لدى موفر DNS وإعداد سجلات DNS دون الوصول إلى حساب المالك الصالح في مسجل النطاق.

المجالات المختطفة

يتميز Sitting Ducks بسهولة الأداء والتخفي، ويرجع ذلك جزئيًا إلى السمعة الإيجابية التي تتمتع بها العديد من النطاقات المختطفة. تشمل بعض النطاقات التي وقعت فريسة للهجمات شركة ترفيه، ومزود خدمة IPTV، ومكتب محاماة، ومورد لتقويم العظام ومستحضرات التجميل، ومتجر ملابس تايلاندي عبر الإنترنت، وشركة لبيع الإطارات.

تستفيد جهات التهديد التي تخطف هذه النطاقات من إعادة وضع العلامة التجارية وحقيقة أنه من غير المرجح أن يتم تمييزها بواسطة أدوات الأمان على أنها ضارة لتحقيق أهدافها الإستراتيجية.

وأوضح بيرتون: “من الصعب اكتشافه لأنه إذا تم اختطاف النطاق، فهو ليس ضعيفًا”. “بدون أي علامة أخرى، مثل صفحة التصيد أو البرامج الضارة، فإن الإشارة الوحيدة هي تغيير عناوين IP.”

“إن عدد النطاقات كبير للغاية لدرجة أن محاولات استخدام تغييرات IP للإشارة إلى نشاط ضار قد تؤدي إلى الكثير من النتائج الإيجابية الخاطئة. لقد عدنا لتتبع الجهات الفاعلة في مجال التهديد التي تخترق النطاقات من خلال فهم كيفية عملها بشكل فردي أولاً ثم بعد ذلك تتبع هذا السلوك.”

أحد الجوانب المهمة المشتركة بين هجمات Sitting Ducks هو الاختطاف التناوبي، حيث يتم الاستيلاء على مجال واحد بشكل متكرر من قبل جهات تهديد مختلفة بمرور الوقت.

المجالات المختطفة

“غالبًا ما تستخدم الجهات الفاعلة في مجال التهديد موفري الخدمات القابلة للاستغلال والتي تقدم حسابات مجانية مثل DNS Made Easy كمكتبات إقراض، وعادةً ما تقوم باختطاف النطاقات لمدة تتراوح بين 30 إلى 60 يومًا؛ ومع ذلك، فقد رأينا أيضًا حالات أخرى حيث تحتفظ الجهات الفاعلة بالمجال لفترة طويلة من الزمن، ” وأشار Infoblox.

“بعد انتهاء صلاحية الحساب المجاني قصير المدى، يتم “فقدان” النطاق من قبل جهة التهديد الأولى ثم يتم إيقافه أو المطالبة به من قبل جهة تهديد أخرى.”

بعض الجهات الفاعلة البارزة في تهديد نظام أسماء النطاقات (DNS) والتي تم العثور عليها “تتغذى على” هجمات Sitting Ducks مدرجة أدناه –

  • Vacant Viper، الذي استخدمه لتشغيل 404 TDS، إلى جانب تشغيل عمليات البريد العشوائي الضارة، وتسليم المواد الإباحية، وإنشاء القيادة والتحكم (C2)، وإسقاط البرامج الضارة مثل DarkGate وAsyncRAT (مستمر منذ ديسمبر 2019).
  • Horrid Hawk، التي استخدمتها لتنفيذ مخططات احتيال استثماري من خلال توزيع النطاقات المختطفة عبر إعلانات فيسبوك قصيرة العمر (مستمرة منذ فبراير 2023 على الأقل).
  • Hasty Hawk، والتي استخدمته لإجراء حملات تصيد واسعة النطاق تحاكي في المقام الأول صفحات الشحن DHL ومواقع التبرع المزيفة التي تحاكي supportukrainenow[.]org والمطالبة بدعم أوكرانيا (مستمر منذ مارس 2022 على الأقل)
  • VexTrio Viper، الذي يستخدم لتشغيل TDS (مستمر منذ أوائل عام 2020)
الأمن السيبراني

قالت Infoblox إن عددًا من الشركات التابعة لـ VexTrio Viper، مثل GoRefresh، انخرطت أيضًا في هجمات Sitting Ducks لإجراء حملات صيدلانية مزيفة عبر الإنترنت، بالإضافة إلى عمليات احتيال المقامرة والمواعدة.

وقال بيرتون: “لدينا عدد قليل من الجهات الفاعلة التي يبدو أنها تستخدم النطاقات الخاصة بالبرامج الضارة C2 التي يتم فيها إرسال عمليات التسلل عبر خدمات البريد”. “بينما يستخدمها الآخرون لتوزيع البريد العشوائي، تقوم هذه الجهات الفاعلة بتكوين نظام أسماء النطاقات (DNS) الخاص بهم فقط لتلقي البريد.”

ويشير هذا إلى أن الجهات الفاعلة السيئة تستفيد من النطاقات التي تم الاستيلاء عليها لمجموعة واسعة من الأسباب، مما يعرض الشركات والأفراد على حد سواء لخطر البرامج الضارة وسرقة بيانات الاعتماد والاحتيال.

وخلصت Infoblox إلى أنه “لقد وجدنا العديد من الجهات الفاعلة التي اختطفت النطاقات واحتفظت بها لفترات طويلة من الزمن، لكننا لم نتمكن من تحديد الغرض من الاختطاف”. “تميل هذه النطاقات إلى التمتع بسمعة عالية ولا يتم ملاحظتها عادةً من قبل بائعي خدمات الأمان، مما يخلق بيئة حيث يمكن للجهات الفاعلة الذكية تقديم برامج ضارة وارتكاب عمليات احتيال واسعة النطاق وتصيد بيانات اعتماد المستخدم دون عواقب.”

وجدت هذه المادة مثيرة للاهتمام؟ تابعونا على تغريد و ينكدين لقراءة المزيد من المحتوى الحصري الذي ننشره.





Source link

وسم

Related Posts

إرسال التعليق

تفقد ما فاتك