Er zijn meerdere bedreigingsactoren gevonden die misbruik maken van een aanvalstechniek genaamd Sitting Ducks om legitieme domeinen te kapen en deze jarenlang te gebruiken bij phishing-aanvallen en investeringsfraude.
De bevindingen zijn afkomstig van Infoblox, dat zegt dat het de afgelopen drie maanden bijna 800.000 kwetsbare geregistreerde domeinen heeft geïdentificeerd, waarvan ongeveer 9% (70.000) vervolgens is gekaapt.
“Cybercriminelen hebben deze vector sinds 2018 gebruikt om tienduizenden domeinnamen te kapen”, zei het cyberbeveiligingsbedrijf in een diepgaand rapport gedeeld met The Hacker News. “Slachtofferdomeinen omvatten bekende merken, non-profitorganisaties en overheidsinstanties.”
De weinig bekende aanvalsvector, hoewel oorspronkelijk al in 2016 gedocumenteerd door beveiligingsonderzoeker Matthew Bryant, trok niet veel aandacht totdat de omvang van de kapingen eerder dit jaar bekend werd gemaakt.
“Ik geloof dat er sindsdien meer bewustzijn is”, vertelde Dr. Renee Burton, vice-president van bedreigingsinformatie bij Infoblox, aan The Hacker News. “Hoewel we het aantal kapingen niet hebben zien afnemen, hebben we gezien dat klanten zeer geïnteresseerd waren in het onderwerp en dankbaar waren voor het bewustzijn over hun eigen potentiële risico’s.
De Sitting Ducks-aanval zorgt er in de kern voor dat een kwaadwillende actor de controle over een domein kan overnemen door gebruik te maken van verkeerde configuraties in de DNS-instellingen (domeinnaamsysteem). Dit omvat scenario’s waarbij de DNS naar de verkeerde gezaghebbende naamserver verwijst.
Er zijn echter bepaalde vereisten om dit voor elkaar te krijgen: een geregistreerd domein delegeert gezaghebbende DNS-services aan een andere provider dan de domeinregistreerder, de delegatie is zwak en de aanvaller kan het domein bij de DNS-provider “claimen” en een configuratie instellen DNS-records zonder toegang tot het geldige eigenaarsaccount bij de domeinregistrar.
Sitting Ducks is zowel gemakkelijk uit te voeren als onopvallend, deels dankzij de positieve reputatie die veel van de gekaapte domeinen hebben. Enkele van de domeinen die ten prooi zijn gevallen aan de aanvallen zijn onder meer een entertainmentbedrijf, een IPTV-dienstverlener, een advocatenkantoor, een orthopedische en cosmetische leverancier, een Thaise online kledingwinkel en een bandenverkoopbedrijf.
De bedreigingsactoren die dergelijke domeinen kapen, profiteren van de merkherpositionering en het feit dat het onwaarschijnlijk is dat ze door beveiligingstools als kwaadaardig zullen worden gemarkeerd om hun strategische doelen te bereiken.
“Het is moeilijk te detecteren, want als het domein is gekaapt, is het niet zwak”, legt Burton uit. “Zonder enig ander teken, zoals een phishingpagina of een stukje malware, is het enige signaal een wijziging van IP-adressen.”
“Het aantal domeinen is zo groot dat pogingen om IP-wijzigingen te gebruiken om kwaadwillige activiteiten aan te geven tot veel valse positieven zouden leiden. We ‘terug’ naar het volgen van de bedreigingsactoren die domeinen kapen door eerst te begrijpen hoe ze individueel opereren en vervolgens het volgen van dat gedrag.”
Een belangrijk aspect dat de Sitting Ducks-aanvallen gemeen hebben, is rotatiekaping, waarbij één domein in de loop van de tijd herhaaldelijk wordt overgenomen door verschillende bedreigingsactoren.
“Dreigingsactoren maken vaak gebruik van exploiteerbare serviceproviders die gratis accounts zoals DNS Made Easy aanbieden als uitleenbibliotheken, waarbij ze doorgaans domeinen gedurende 30 tot 60 dagen kapen; we hebben echter ook andere gevallen gezien waarin actoren het domein voor een lange periode in bezit hebben. “merkte Infoblox op.
“Nadat het korte termijn gratis account verloopt, wordt het domein ‘verloren’ door de eerste bedreigingsacteur en vervolgens geparkeerd of geclaimd door een andere bedreigingsacteur.”
Enkele van de prominente DNS-bedreigingsactoren waarvan is vastgesteld dat ze zich “tegoed doen aan” Sitting Ducks-aanvallen, worden hieronder opgesomd:
- Vacant Viper, dat het heeft gebruikt om de 404 TDS te bedienen, naast het uitvoeren van kwaadaardige spamoperaties, het leveren van porno, het opzetten van command-and-control (C2) en het droppen van malware zoals DarkGate en AsyncRAT (lopend sinds december 2019)
- Horrid Hawk, die het heeft gebruikt om investeringsfraude uit te voeren door de gekaapte domeinen te verspreiden via kortstondige Facebook-advertenties (lopend sinds minstens februari 2023)
- Hasty Hawk, dat het heeft gebruikt om wijdverbreide phishing-campagnes uit te voeren die voornamelijk de verzendpagina’s van DHL nabootsen en valse donatiesites die supportukrainenow(.)org nabootsen en beweren Oekraïne te steunen (lopend sinds minstens maart 2022)
- VexTrio Viper, dat zijn TDS exploiteert (lopend sinds begin 2020)
Infoblox zei dat een aantal aangesloten bedrijven van VexTrio Viper, zoals GoRefresh, zich ook bezig hebben gehouden met Sitting Ducks-aanvallen om nep-online farmaceutische campagnes uit te voeren, evenals met gok- en datingfraude.
“We hebben een paar actoren die de domeinen lijken te gebruiken voor malware C2, waarbij exfiltratie via e-maildiensten wordt verzonden”, aldus Burton. “Terwijl anderen ze gebruiken om spam te verspreiden, configureren deze actoren hun DNS alleen om e-mail te ontvangen.”
Dit geeft aan dat de slechte actoren de in beslag genomen domeinen om een breed spectrum van redenen misbruiken, waardoor zowel bedrijven als individuen het risico lopen op malware, diefstal van inloggegevens en fraude.
“We hebben verschillende actoren gevonden die domeinen hebben gekaapt en deze voor langere tijd hebben vastgehouden, maar we zijn er niet in geslaagd het doel van de kaping vast te stellen”, concludeerde Infoblox. “Deze domeinen hebben doorgaans een goede reputatie en worden doorgaans niet opgemerkt door beveiligingsleveranciers, waardoor een omgeving ontstaat waarin slimme actoren malware kunnen leveren, ongebreidelde fraude kunnen plegen en gebruikersgegevens kunnen phishen zonder gevolgen.”