SubdoMailing и рост фишинга на субдоменах

Компания Guardio Labs столкнулась с серьезным случаем захвата субдоменов, затронувшим тысячи поддоменов. Они придумали термин "SubdoMailing" для описания этой цепочки атак, использующих угрожающие поддомены известных компаний для рассылки вредоносных писем. Расследование показало, что вредоносная кампания действует с 2022 года. 

SubdoMailing можно считать развитой формой атаки социальной инженерии, которая использует надежность хорошо узнаваемых поддоменов. Злоумышленники проводят эту вредоносную кампанию в широких масштабах, рассылая миллионы фишинговых писем с захваченных поддоменов. 

Объяснение захвата поддоменов

При захвате поддомена злоумышленники берут под контроль поддомен, связанный с легитимным корневым доменом, который затем становится рассадником различных вредоносных действий. Захваченный поддомен может использоваться для запуска фишинговых кампаний, распространения нежелательного контента, продажи запрещенных веществ или распространения программ-вымогателей.

Чаще всего неактивные поддомены лежат без движения в течение длительного времени. Что еще более опасно, такие поддомены имеют висячие записи DNS которые открывают путь для захвата поддомена. Как только злоумышленник получает контроль над такими поддоменами, ему может многое сойти с рук!

Когда вы управляете доменным именем с несколькими поддоменами, легко повернуться спиной и оставить двери незапертыми. Будь то предприятие или малый бизнес, неспособность защитить свои поддомены может привести к таким инцидентам, как SubdoMailing или другим формам злоупотребления поддоменами. 

Как работают атаки SubdoMailing?

Сайт В статье Guardio говорится, что компания обнаружила подозрительный почтовый трафик, исходящий с тысяч, казалось бы, легитимных поддоменов известных брендов. Среди них были такие громкие имена, как MSN, VMware, McAfee, The Economist, Cornell University, CBS, Marvel, eBay и многие другие!

В этих письмах использовалось чувство срочности, чтобы заставить пользователей перейти по компрометирующим ссылкам. Они перенаправляли пользователей на вредоносные сайты. Они варьировались от навязчивой рекламы до более опасных фишинговых сайтов, нацеленных на кражу конфиденциальной информации. 

Пример SubdoMailing

Источник

Приведенный выше пример - это классический случай SubdoMailing, обнаруженный Guardio. Электронные письма, отправленные со взломанного субдомена Cash App, были распространены среди миллионов пользователей. В письме содержалось предупреждение о необходимости подтвердить поступление средств на счета пользователей Cash App. Письмо содержало несколько потенциально вредоносных перенаправлений.

Вредоносные вложения электронной почты и тщательно проработанные ссылки очень трудно игнорировать. Особенно если они сопровождаются предупреждающим сообщением, требующим немедленного внимания. Естественно, в таких ситуациях велика вероятность того, что пользователи перейдут по ссылкам и станут жертвами кибератаки. 

Атрибуты и особенности атаки SubdoMailing  

Атаки SubdoMailing могут иметь высокий процент успеха благодаря своим уникальным характеристикам. Guardio объясняет, что SubdoMailing использует очень сложную тактику для манипулирования легитимными поддоменами таких популярных брендов. Эти атаки было очень сложно обнаружить, и они требовали тщательного расследования со стороны экспертов по кибербезопасности Guardio. 

Почему атаки SubdoMailing могут иметь высокий процент успеха

Мы видим в атаках SubdoMailing реальный потенциал для нанесения серьезного ущерба нескольким ничего не подозревающим пользователям, благодаря следующим характеристикам: 

1. Выдача себя за известные бренды с устоявшейся репутацией
2. Масштабные операции с 8000+ доменами и более.
3. Обход фильтров спама 
4. Обход фильтров содержимого электронной почты путем создания достоверных сообщений на основе изображений
5. Злоумышленники анализируют тип вашего устройства и местоположение, чтобы совершать более целенаправленные атаки. 
6. Вредоносные письма прошли проверка подлинности электронной почты проверки, такие как SPF, DKIM и DMARC.

Как фишинговые письма SubdoMailing обходят проверки подлинности электронной почты?

Приведем пример одного из случаев использования, исследованных Guardio. Guardio обнаружила несколько фишинговых писем, отправленных с определенного поддомена msn.com. 

При ближайшем рассмотрении этих вредоносных писем Guardio обнаружила, что они были отправлены с сервера, расположенного в украинском городе Киев. В идеале это должно было быть отмечено как подозрительное при проверке SPF если только IP-адрес сервера не был авторизован. При проверке выяснилось, что подозрительный IP-адрес был авторизован поддоменом msn.com.

Это может быть вызвано одной из следующих причин: 

• Это может быть внутренняя угроза, когда сотрудник MSN намеренно авторизует IP-адрес для рассылки фишинговых писем. 
• Это может быть простой случай человеческой ошибки, когда сервер был непреднамеренно авторизован из-за опечатки
• Это может быть более продвинутая форма манипуляции DNS, когда поддомен поддомен MSN был перехвачен внешней угрозой для авторизации сервера

Дальнейшее изучение SPF-записи для поддомена msn.com привело экспертов Guardio в кроличью нору из 17826 вложенных IP-адресов, имеющих право отправлять электронные письма от имени домена. Замысловатость SPF-записи указывала на весьма подозрительный, но тщательно продуманный подход к манипулированию фильтрами аутентификации. Более того, расследование показало, что этот поддомен MSN указывал на другой домен через DNS-запись CNAME. Таким образом, как только злоумышленник приобрел другой домен, это позволило ему захватить поддомен MSN.

Как же злоумышленникам удалось этого добиться? Давайте узнаем: 

Использование неактивных/заброшенных поддоменов для SubdoMailing

Гуардио использовал интернет-архивы, чтобы понять, действительно ли поддомен msn.com был заявлен MSN. Оказалось, что поддомен был активен 22 года назад. Он пролежал заброшенным более двух десятилетий - до недавнего времени! 

Вот что произошло: 

• Угрожающий агент купил домен, который был связан с поддоменом. Поскольку ссылка все еще существовала 22 года спустя, они смогли захватить домен. 
• Теперь они могли манипулировать им как угодно! Злоумышленники авторизировали свои собственные серверы в SPF-записи поддомена, что позволило им отправлять аутентифицированные фишинговые письма от имени поддомена. 
• Они использовали этот шанс, чтобы отправить миллионы мошеннических писем под видом msn.com, выдавая себя за законных отправителей. 

Манипуляции с SPF-записями для SubdoMailing

В случае с SubdoMailing в SPF-записи взломанного поддомена было размещено несколько заброшенных доменов. В дальнейшем эти домены были приобретены для авторизации SMTP-серверов, принадлежащих злоумышленникам. Согласно природе политики SPF, поддомен в итоге авторизует все эти контролируемые злоумышленниками серверы в качестве легитимных отправителей электронной почты. 

Именно поэтому мы используем SPF для авторизации легитимных отправителей. Это становится очень важным, когда компания использует внешних поставщиков электронной почты для отправки своих писем. Это также исключает вероятность того, что мошеннические источники будут отправлять электронные письма от имени домена. В этом классическом случае манипулирования записями SPF преимущество использования SPF для аутентификации электронной почты было использовано для авторизации злонамеренных отправителей. 

Предотвращение атак SubdoMailing: Что могут сделать компании?

Продвинутая форма атаки с захватом поддоменов, такая как SubdoMailing, требует проактивной стратегии предотвращения. Вот как вы можете начать: 

Предотвращение появления висячих DNS-записей

Записи DNS, указывающие на домены, которые были деконфигурированы, или серверы, которые больше не используются, могут привести к SubdoMailing. Убедитесь, что вы регулярно обновляете записи DNS и не авторизуете устаревшие источники. В записях DNS должны быть указаны только активные домены или серверы, которые вы контролируете. Кроме того, убедитесь, что ваши поставщики электронной почты следят за чистотой своих списков рассылки и удаляют серверы, которые больше не используются. 

Мониторинг каналов электронной почты 

Настроить отчеты DMARC недостаточно, их нужно еще и отслеживать. Как владелец домена, вы должны быть всегда в курсе того, как вы отправляете электронную почту. При больших объемах электронной почты этого трудно добиться даже с помощью выделенного почтового ящика. Именно поэтому вам нужен сторонний поставщик, такой как PowerDMARC. Мы помогаем вам отслеживать источники отправки и активность электронной почты на облачной панели с расширенными возможностями фильтрации. Поддомены автоматически определяются на нашей платформе, что помогает вам внимательно следить за ними. Это позволит вам мгновенно обнаружить любую подозрительную активность! 

Возьмите под контроль свои поддомены 

Это тревожный сигнал к тому, чтобы уже сегодня пересмотреть все свои источники рассылки. Начните с выполнения проверка SPF с помощью нашего бесплатного инструмента!

Оцените механизмы "include" в статусе SPF, чтобы проверить включенные домены и поддомены. Эти домены являются хостингом SPF-записей, IP-адреса которых уполномочены отправлять электронные письма от имени вашего корневого домена. Если вы обнаружили поддомен, который вы больше не используете - самое время удалить "include" для него. Вы можете перейти в зону редактирования DNS, чтобы внести необходимые изменения. 

Дополнительные советы по защите от кибератак 

• Убедитесь, что ваши записи CNAME всегда актуальны, и отключите или удалите записи CNAME, которые вы больше не используете.
• Убедитесь, что механизмы SPF в вашей записи также актуальны, удалите все службы отправки, которые вы больше не используете.
• Настройте свои легитимные источники на отправку DMARC-совместимых писем и установите политику DMARC на отклонение для ваших доменов и поддоменов. 
• Защитите свои припаркованные домены и поддомены
• Удалите неиспользуемые поддомены и записи DNS
• Постоянно проверяйте электронные письма, отправленные с ваших доменов и поддоменов, настроив отчетность для всех принадлежащих вам доменов

Защита доменов с помощью PowerDMARC

PowerDMARC поможет вам защитить ваши доменные имена! Наша платформа разработана для того, чтобы владельцы доменов могли вернуть контроль над своими доменами с помощью визуального наблюдения и мониторинга. Мы помогаем вам отслеживать источники рассылки и почтовый трафик, предоставляя подробную информацию о всех деталях вашей почтовой активности. Это поможет вам обнаружить необычные закономерности в активности вашего домена, вредоносные IP-адреса, выдающие себя за ваш домен, и даже обнаружить географическое расположение серверов, подделывающих имя вашего бренда. 

Начните свой путь к безопасности домена вместе с нами, свяжитесь с нами чтобы поговорить с экспертом уже сегодня!

• О сайте
• Последние сообщения

Юнес Тарада

Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.

Последние сообщения Юнеса Тарады (см. все)

• Объяснение кодов ошибок SMTP Yahoo - 1 мая 2024 г.
• SPF Softfail и Hardfail: В чем разница? - 26 апреля 2024 г.
• ФТК сообщает, что электронная почта является популярным средством мошенничества, выдающего себя за человека - 16 апреля 2024 г.