SubdoMailing en de opkomst van phishing via subdomeinen

Guardio Labs stuitte op een ernstig geval van subdomain hijacking, waarbij duizenden subdomeinen werden getroffen. Ze bedachten de term "SubdoMailing" om deze keten van aanvallen te beschrijven die de bedreigde subdomeinen van bekende bedrijven gebruikt om kwaadaardige e-mails te versturen. Onderzoek bracht aan het licht dat de kwaadaardige campagne al sinds 2022 actief is. 

SubdoMailing kan worden beschouwd als een geëvolueerde vorm van social engineering-aanval, die gebruikmaakt van de betrouwbaarheid van bekende subdomeinen. De aanvallers voeren deze kwaadaardige campagne op grote schaal uit door miljoenen phishingmails te versturen vanaf de gekaapte subdomeinen. 

Subdomein kaping uitgelegd

Bij subdomain hijacking nemen aanvallers de leiding over een subdomein dat is gekoppeld aan een legitiem hoofddomein, dat vervolgens een broedplaats wordt voor verschillende kwaadaardige activiteiten. Het gekaapte subdomein kan worden gebruikt om phishingcampagnes te lanceren, ongepaste inhoud te verspreiden, illegale stoffen te verkopen of ransomware te verspreiden.

Inactieve subdomeinen blijven vaak lange tijd inactief. Wat nog gevaarlijker is, is dat deze subdomeinen bungelende DNS-records die de weg vrijmaken voor het kapen van subdomeinen. Zodra een aanvaller de controle over deze subdomeinen overneemt, kan hij met veel dingen wegkomen!

Wanneer je een domeinnaam beheert met meerdere subdomeinen, is het makkelijk om je rug toe te keren en deuren niet op slot te doen. Of je nu een onderneming of een klein bedrijf bent, het niet beveiligen van je subdomeinen kan leiden tot incidenten zoals SubdoMailing of andere vormen van subdomeinmisbruik. 

Hoe werken SubdoMailing-aanvallen?

Een artikel van Guardio stond dat het bedrijf verdacht e-mailverkeer ontdekte dat afkomstig was van duizenden ogenschijnlijk legitieme subdomeinen van bekende merken. Hieronder waren grote namen als MSN, VMware, McAfee, The Economist, Cornell University, CBS, Marvel, eBay en nog veel meer!

Deze e-mails gebruikten een gevoel van urgentie om gebruikers te manipuleren om op compromitterende koppelingen te klikken. Deze leiden gebruikers om naar schadelijke bestemmingen. Het varieerde van indringende advertenties tot gevaarlijkere phishing-websites die gericht waren op het stelen van gevoelige informatie. 

SubdoMailing Voorbeeld

Bron

Het voorbeeld hierboven is een klassiek geval van SubdoMailing ontdekt door Guardio. E-mails afkomstig van een gecompromitteerd Cash App subdomein werden verspreid onder miljoenen gebruikers. In deze e-mail werd een waarschuwingsbericht weergegeven voor de bevestiging van uitstaande fondsen op hun Cash App-accounts. De e-mail bevatte verschillende potentieel schadelijke omleidingen.

Kwaadaardige e-mailbijlagen en zorgvuldig gemaakte links zijn moeilijk te negeren. Vooral als ze vergezeld gaan van een waarschuwingsbericht dat onmiddellijke aandacht vereist. In deze situaties is de kans groot dat gebruikers op de koppelingen klikken en het slachtoffer worden van een cyberaanval. 

Kenmerken en eigenschappen van SubdoMailing-aanval  

SubdoMailing-aanvallen hebben een hoog succespercentage vanwege hun unieke kenmerken. Guardio legt uit dat SubdoMailing zeer geavanceerde tactieken gebruikt om legitieme subdomeinen van populaire merknamen te manipuleren. Deze aanvallen waren zeer moeilijk te detecteren en vereisten grondig onderzoek door de cyberbeveiligingsexperts van Guardio. 

Waarom SubdoMailing-aanvallen een hoog succespercentage kunnen hebben

We zien een reëel potentieel in SubdoMailing-aanvallen om verschillende nietsvermoedende gebruikers ernstige schade toe te brengen, vanwege de volgende kenmerken: 

1. Imitatie van bekende merken met een gevestigde reputatie
2. Werken op grote schaal door het manipuleren van 8000+ domeinen en meer
3. Spamfilters omzeilen 
4. E-mailinhoudfilters omzeilen door geloofwaardige berichten op basis van afbeeldingen te cureren
5. Aanvallers analyseren je apparaattype en locatie om gerichtere aanvallen uit te voeren 
6. De schadelijke e-mails passeerden e-mailverificatie controles zoals SPF, DKIM en DMARC.

Hoe omzeilen SubdoMailing Phishing E-mails e-mailverificatiecontroles?

Laten we het voorbeeld nemen van een van de use cases die door Guardio is onderzocht. Guardio vond verschillende phishing e-mails afkomstig van een bepaald subdomein van msn.com. 

Bij nadere inspectie van deze schadelijke e-mails ontdekte Guardio dat ze waren verzonden vanaf een server in de Oekraïense stad Kiev. Idealiter zou dit als verdacht zijn gemarkeerd tijdens een SPF controle, tenzij het IP-adres van de server geautoriseerd was. Bij controle bleek dat een subdomein van msn.com het verdachte IP-adres had geautoriseerd.

Dit kan een van de volgende redenen hebben: 

• Het kan een bedreiging van binnenuit zijn, waarbij een MSN-medewerker het IP-adres opzettelijk heeft geautoriseerd om phishing-e-mails te versturen. 
• Het kan een eenvoudig geval van een menselijke fout zijn, waarbij de server onbedoeld is geautoriseerd vanwege een typefout.
• Het zou een meer geavanceerde vorm van DNS-manipulatie kunnen zijn waarbij het MSN subdomein werd gekaapt door een externe bedreiging om de server te autoriseren

Verder onderzoek van het SPF-record voor het subdomein msn.com bracht de experts van Guardio in een konijnenhol van 17826 geneste IP-adressen die geautoriseerd zijn om e-mails te versturen namens het domein. Alleen al de complexiteit van het SPF-record duidde op een zeer verdachte, maar zorgvuldig opgezette aanpak voor het manipuleren van verificatiefilters. Belangrijker nog, onderzoek wees uit dat dit MSN-subdomein naar een ander domein wees via een CNAME DNS-record. Toen de aanvaller dus het andere domein had gekocht, kon hij het MSN-subdomein kapen.

Hoe hebben de aanvallers dit voor elkaar gekregen? Laten we dat uitzoeken: 

Gebruik van inactieve/verlaten subdomeinen voor SubdoMailing

Guardio gebruikte internetarchieven om te onderzoeken of het subdomein msn.com inderdaad door MSN werd geclaimd. Het subdomein bleek 22 jaar geleden actief te zijn geweest. Het lag er al meer dan twee decennia verlaten bij - tot voor kort! 

Dit is wat er gebeurde: 

• Een bedreigende actor kocht het domein dat was gekoppeld aan het subdomein. Omdat de link 22 jaar later nog steeds bestond, konden ze het domein kapen. 
• Nu waren ze vrij om het te manipuleren op elke manier die ze maar wilden! De aanvallers machtigden hun eigen servers in het SPF-record van het subdomein, waardoor ze geauthenticeerde phishing e-mails konden versturen namens het subdomein. 
• Ze gebruikten deze kans om miljoenen frauduleuze e-mails te versturen onder het mom van msn.com, waarbij ze zich voordeden als legitieme afzenders. 

SPF Record Manipulatie voor SubdoMailing

In het geval van SubdoMailing werden verschillende verlaten domeinen gehost op het SPF-record van het gekaapte subdomein. Deze domeinen werden verder overgenomen om SMTP-servers van de aanvaller te autoriseren. Door de aard van het SPF-beleid autoriseert het subdomein uiteindelijk al deze door de aanvallers gecontroleerde servers als legitieme e-mailverzenders. 

De reden waarom we SPF gebruiken is om legitieme afzenders te autoriseren. Dit is erg belangrijk wanneer een bedrijf externe e-mailleveranciers gebruikt om e-mails te versturen. Dit elimineert ook de kans dat frauduleuze bronnen e-mails versturen namens een domein. In dit klassieke geval van SPF record manipulatie werd het voordeel van het gebruik van SPF om e-mails te authenticeren misbruikt om kwaadwillende afzenders te autoriseren. 

SubdoMailing-aanvallen voorkomen: Wat kunnen bedrijven doen?

Een geavanceerde vorm van subdomain hijacking aanval zoals SubdoMailing vereist een proactieve preventiestrategie. Dit is hoe je kunt beginnen: 

Hangende DNS-records voorkomen

DNS-vermeldingen die verwijzen naar domeinen die gedeconfigureerd zijn of servers die niet langer in gebruik zijn, kunnen leiden tot SubdoMailing. Zorg ervoor dat je regelmatig je DNS-records bijwerkt en geen verouderde bronnen toestaat. Alleen actieve domeinen of servers waar jij de controle over hebt, mogen in je DNS-records worden vermeld. Zorg er ook voor dat je e-mailleveranciers hun verzendlijsten opschonen en servers verwijderen die niet meer in gebruik zijn. 

Uw e-mailkanalen bewaken 

DMARC-rapporten configureren is niet genoeg, het moet gepaard gaan met het monitoren van de rapporten. Als domeineigenaar moet u zich te allen tijde bewust zijn van uw e-mailverzendpraktijken. Met grote e-mailvolumes is dit moeilijk te realiseren, zelfs met een speciale mailbox. Daarom hebt u een externe leverancier zoals PowerDMARC nodig. Wij helpen u uw verzendbronnen en e-mailactiviteit te controleren op een cloudgebaseerd dashboard met geavanceerde filtermogelijkheden. Subdomeinen worden automatisch gedetecteerd op ons platform, zodat u ze goed in de gaten kunt houden. Hierdoor kun je verdachte activiteiten direct ontdekken! 

Neem controle over uw subdomeinen 

Dit is een oproep om vandaag al je verzendbronnen opnieuw te evalueren. Begin met het uitvoeren van een SPF controle met onze gratis tool!

Evalueer de "include" mechanismen in je SPF status om je included domeinen en subdomeinen te controleren. Deze domeinen hosten SPF-records, met IP-adressen die geautoriseerd zijn om e-mails te versturen namens je hoofddomein. Als je een subdomein vindt dat je niet langer gebruikt, is het tijd om de "include" ervoor te verwijderen. Je kunt naar je DNS-bewerkingszone gaan om de vereiste wijzigingen aan te brengen. 

Extra tips voor bescherming tegen cyberaanvallen 

• Zorg ervoor dat uw CNAME-records altijd up-to-date zijn en schakel CNAME-records die u niet meer gebruikt uit of verwijder ze
• Zorg ervoor dat de SPF-mechanismen in je record ook up-to-date zijn, verwijder alle verzendservices die je niet langer gebruikt
• Configureer je legitieme bronnen om DMARC-conforme e-mails te versturen en stel je DMARC-beleid in op afwijzen voor je domeinen en subdomeinen. 
• Bescherm je geparkeerde domeinen en subdomeinen
• Ongebruikte subdomeinen en DNS-records verwijderen
• Voortdurend e-mails bekijken die zijn verzonden vanaf uw domeinen en subdomeinen door rapportage in te stellen voor alle domeinen die u bezit

Uw domeinen beschermen met PowerDMARC

PowerDMARC kan u helpen uw domeinnamen te beveiligen! Ons platform is ontworpen om domeineigenaren in staat te stellen de controle over hun eigen domeinen terug te nemen door middel van zichtbaarheid en monitoring. Wij helpen u bij het bijhouden van uw verzendbronnen en e-mailverkeer door granulaire details te presenteren over het reilen en zeilen van uw e-mailactiviteiten. Dit helpt u bij het detecteren van ongebruikelijke patronen in uw domeinactiviteit, schadelijke IP's die zich voordoen als uw domein en zelfs bij het ontdekken van geografische locaties van de servers die uw merknaam spoofen. 

Om uw reis naar domeinbeveiliging met ons te beginnen, contact met ons opnemen om vandaag nog met een expert te spreken!

• Over
• Laatste berichten

Yunes Tarada

Yunes is een Operations Team Lead bij PowerDMARC met expertkennis in e-mailverificatie en -beveiliging. Yunes is een Microsoft-gecertificeerde Azure Administrator Associate met certificeringen in CompTIA A+ en nog veel meer.

Laatste berichten van Yunes Tarada (Bekijk alle berichten )

• Hoe DMARC instellen in Office 365? Stap voor stap handleiding - 6 mei 2024
• SMTP Yahoo foutcodes uitgelegd - 1 mei 2024
• SPF Softfail Vs Hardfail: Wat is het verschil? - 26 april 2024