Saldırganlar, geniş bir alana yayılmak için tanınmış marka ve kurumlara ait 8.000’den fazla alt alan adını ele geçirdi. e-dolandırıcılık Her gün sayıları milyonları bulan kötü amaçlı e-postalar gönderen kampanya.
MSN, VMware, McAfee, The Economist, Cornell Üniversitesi, CBS, Marvel ve eBay, daha büyük bir siber suç girişiminin merkezinde yer alan kampanyayı keşfeden Guardio Labs araştırmacıları tarafından adlandırılan “SubdoMailing”e yakalanan kuruluşlar arasında yer alıyor ve tehlikeye atılan kuruluşların güvenini ve itibarını zedelediğini söylediler.
Guardio Labs-Siber Güvenlik başkanı Nati Tal ve güvenlik araştırmacısı Oleg Zaytsev, “Ortaya çıkarılan operasyon, büyük markalara ait veya onlarla bağlantılı binlerce ele geçirilen alt alan adının manipülasyonunu içeriyor.” bir gönderide yazdı İçerik paylaşım platformu Medium’da. “Bu alan adları için karmaşık DNS manipülasyonları, uluslararası tanınmış markaların kisvesi altında yanlış bir şekilde yetkilendirilmiş, büyük miktarlarda spam içerikli ve doğrudan kötü niyetli e-postaların gönderilmesine olanak sağladı.”
Kampanya, e-postaların güvenilir alanlardan geliyormuş gibi görüneceği ve tüm endüstri standartlarını atlayacak şekilde hazırlanmıştır. e-posta güvenlik önlemleri Genellikle Gönderen Politikası Çerçevesi (SPF), DKIM, SMTP Sunucusu ve DMARC, araştırmacılar söyledi.
Kaçakçılık Planını Keşfetmek
Guardio, e-posta koruma sistemlerinin bir e-postayı e-posta meta verilerindeki olağandışı desenler nedeniyle işaretledikten sonra operasyonu nasıl ortaya çıkardığını gönderide ayrıntılı olarak anlatıyor. Bu durum araştırmacıları bir tavşan deliğine sürükledi ve sonuçta yaşam tarzı gurusu Martha Stewart ile MSN.com arasında uzun süredir feshedilmiş bir ortaklığa yol açtı.
Alıntı yapılan örnek, spam olarak işaretlenmesi gerekirken kullanıcının “Birincil” gelen kutusuna düşen bir bulut depolama hesabındaki şüpheli etkinlik konusunda birini uyaran “özellikle sinsi bir e-posta” idi.
Metin tabanlı spam filtrelerini önlemek için resim olarak oluşturulan e-posta, kimlik avı kampanyalarında tipik olan, farklı alanlar üzerinden bir dizi tıklama yönlendirmesini tetikler. Bu durumda yönlendirmeler, kurbanın cihaz türünü ve coğrafi konumunu kontrol eder ve onları reklamlar, sınav kameralarına yönlendiren bağlı kuruluş bağlantıları, kimlik avı siteleri ve hatta kötü amaçlı yazılımlar gibi kârı en üst düzeye çıkarmak için tasarlanmış çeşitli içeriklere yönlendirir.
E-postanın güvenlik taramasından ve korumalardan nasıl geçtiğinin izini süren araştırmacılar, “klasik bir alt alan adı” olarak nitelendirdikleri şeyi buldular kaçırma planı.” E-posta Kiev’deki bir SMTP sunucusu olan 62.244.33.18’den gelmiş olsa da, şu adresten gönderiliyor olarak işaretlendi: [email protected].
Araştırmacılar, bunun görünüşte meşru görünebileceğini belirtti; ancak senaryoda msn.com’un bir alt alan adının 62.244.33.18 numaralı SMTP sunucusuna e-posta gönderme yetkisi verdiğini ve bunun da bu onay sürecinin meşruiyeti konusunda şüphe uyandırdığını söylediler.
Marthastewart.msn.com alt alan adına ilişkin DNS kaydının daha yakından incelenmesi üzerine araştırmacılar, bunun CNAME kaydına sahip başka bir alan adı olan msnmarthastewartsweeps.com ile bağlantılı olduğunu buldu. Bu, gönderiye göre “alt alan adının, SPF politikası da dahil olmak üzere msnmarthastewartsweeps.com’un tüm davranışını devraldığı” anlamına geliyor.
Daha ayrıntılı bir araştırma, SPF politikasının, diğer alanların SPF kayıtlarını kullanarak onaylı gönderenlerin IP listesinin genişletilmesine olanak tanıyan bir sözdizimi kullandığını ortaya çıkardı. SPF kaydını yinelemeli olarak sorguladıklarında, aralarında 62.244.33.18’in de bulunduğu 17.826 IP’lik bir liste buldular. Bu liste, temelde ele geçirilen MSN.com alt alan adı altındaki tüm adreslerin onaylanmasına olanak tanıyordu. Araştırmacılar, bunun sonuçta bu alanlardan gönderilen e-postaların diğer korumaları da geçmesine izin verdiğini söyledi.
Guardio sonunda msnmarthastewartsweeps.com alt alan adını 22 yıl önceki bir promosyon amaçlı çekiliş kampanyasına kadar takip etti. Alan adı 21 yıl boyunca terk edilmiş olsa da Eylül 2022’de Namecheap’e yeniden özel olarak kaydoldu.
Araştırmacılar, “Artık alan adı, DNS kayıtları üzerinde kontrole sahip olan ve bunun sonucunda MSN alt alan kaydını da kontrol eden belirli bir aktöre ait” diye yazdı. “Yani bu durumda oyuncu, sanki msn.com ve onaylı postacıları bu e-postaları göndermiş gibi istediği herkese e-posta gönderebilir.”
Tek Tehdit Aktörü
Guardio, kapsamlı kampanyayı “ResurrecAds” olarak takip edilen bir tehdit aktörüne atfediyor. Bu aktör, büyük markaların/veya onlarla bağlantılı “ölü” alanları yeniden canlandırarak meşru hizmetleri ve markaları arka kapı olarak kullanarak kâr elde etme nihai hedefine doğru kullanma stratejisini kullanıyor. “Reklam Ağı” varlığı.
Araştırmacılar, “Bu yaklaşım, dijital reklam ekosistemini hain kazançlar için manipüle etme konusundaki ustalıklarını sergileyerek, çağdaş e-posta koruma önlemlerini atlatmalarını sağlıyor” diye yazdı.
Guardio’ya göre aktör, kötü niyetli faaliyetlerinin bir parçası olarak, saygın markaların unutulmuş alt alan adlarını satın alma veya kötü amaçlı e-posta yayılımı amacıyla bunları tehlikeye atma fırsatlarını belirlemek için sürekli olarak İnternet’i tarıyor.
Araştırmacılar, bu görevde ResurrecAds’in “hem kaçırılan hem de kasıtlı olarak edinilen alan adı ve IP varlıklarından oluşan geniş bir ağ oluşturduğunu” belirtti; bu, bu geniş çaplı operasyonların sürdürülmesinde yüksek düzeyde organizasyon ve teknik karmaşıklığa işaret ediyor” dedi.
Uzlaşmanın kontrol edilmesi
Kampanya şunu gösteriyor: artan karmaşıklık Bu dijital iletişim biçiminin neredeyse başlangıcından bu yana var olan ancak SPM, DKIM ve DMARC gibi güvenlik korumaları da geliştikçe ve savunucular tarafından daha yaygın olarak uygulandıkça gelişmeye devam eden kötü amaçlı e-posta kampanyalarının sayısı.
“Araştırmamız, tehdit aktörlerinin yalnızca güvenlik önlemlerine tepki vermediğini; proaktif olarak uyum sağlama ve bir süreliğine gelişiyor” diye yazdı araştırmacılar.
Operasyon çok yaygın ve hala aktif olduğu için Guardio, özel bir web sitesi Bir sitenin terkedilmiş alan adının operasyonda kullanılıp kullanılmadığını kontrol etmek için SubdoMailing Checker adlı bir araçla.
Sayfa, Guardio’nun sistemleri tarafından tespit edilen, CNAME ve SPF tabanlı saldırılardan etkilenen en son alan adlarıyla günlük olarak güncellenir ve kuruluşlara “bilinen suiistimallerin, saldırı türlerinin ve ihtiyaç duyulan ilgili alt alan adlarının ve SPF kayıtlarının tüm ayrıntılarını” verir. dikkat çekicidir” diye açıkladı araştırmacılar.