Beberapa pelaku ancaman ditemukan memanfaatkan teknik serangan yang disebut Sitting Ducks untuk membajak domain sah untuk digunakan dalam serangan phishing dan skema penipuan investasi selama bertahun-tahun.
Temuan ini berasal dari Infoblox, yang mengatakan pihaknya mengidentifikasi hampir 800.000 domain terdaftar yang rentan selama tiga bulan terakhir, dan sekitar 9% (70.000) di antaranya telah dibajak.
“Penjahat dunia maya telah menggunakan vektor ini sejak tahun 2018 untuk membajak puluhan ribu nama domain,” kata perusahaan keamanan siber tersebut dalam laporan mendalam yang dibagikan kepada The Hacker News. “Domain korban mencakup merek terkenal, organisasi nirlaba, dan entitas pemerintah.”
Vektor serangan yang kurang diketahui ini, meskipun awalnya didokumentasikan oleh peneliti keamanan Matthew Bryant pada tahun 2016, tidak menarik banyak perhatian sampai skala pembajakan diungkapkan pada awal Agustus ini.
“Saya yakin ada lebih banyak kesadaran [since then],” Dr. Renee Burton, wakil presiden intelijen ancaman di Infoblox, mengatakan kepada The Hacker News. “Meskipun kami belum melihat jumlah pembajakan turun, kami telah melihat pelanggan sangat tertarik dengan topik ini dan berterima kasih atas kesadaran seputar masalah mereka sendiri. potensi risiko.
Serangan Sitting Ducks, pada intinya, memungkinkan aktor jahat untuk mengambil alih kendali sebuah domain dengan memanfaatkan kesalahan konfigurasi dalam pengaturan sistem nama domain (DNS). Ini termasuk skenario ketika DNS menunjuk ke server nama otoritatif yang salah.
Namun, ada prasyarat tertentu untuk melakukan hal ini: Domain terdaftar mendelegasikan layanan DNS otoritatif ke penyedia yang berbeda dari pendaftar domain, delegasi tersebut lemah, dan penyerang dapat “mengklaim” domain di penyedia DNS dan mengaturnya. Catatan DNS tanpa akses ke akun pemilik yang valid di pencatatan domain.
Sitting Ducks mudah dilakukan dan tersembunyi, sebagian didorong oleh reputasi positif yang dimiliki banyak domain yang dibajak. Beberapa domain yang menjadi korban serangan ini termasuk perusahaan hiburan, penyedia layanan IPTV, firma hukum, pemasok ortopedi dan kosmetik, toko pakaian online Thailand, dan perusahaan penjualan ban.
Pelaku ancaman yang membajak domain tersebut memanfaatkan reposisi merek dan fakta bahwa mereka tidak mungkin ditandai oleh alat keamanan sebagai domain berbahaya untuk mencapai tujuan strategis mereka.
“Sulit dideteksi karena jika domain telah dibajak maka tidak timpang,” jelas Burton. “Tanpa tanda lain, seperti halaman phishing atau malware, satu-satunya sinyal adalah perubahan alamat IP.”
“Jumlah domain sangat banyak sehingga upaya untuk menggunakan perubahan IP untuk mengindikasikan aktivitas jahat akan menghasilkan banyak kesalahan positif. Kami 'kembali' melacak pelaku ancaman yang membajak domain dengan terlebih dahulu memahami cara mereka beroperasi satu per satu, lalu kemudian melacak perilaku itu.”
Aspek penting yang umum terjadi pada serangan Sitting Ducks adalah pembajakan bergilir, yaitu satu domain berulang kali diambil alih oleh pelaku ancaman yang berbeda seiring berjalannya waktu.
“Pelaku ancaman sering kali menggunakan penyedia layanan yang dapat dieksploitasi dan menawarkan akun gratis seperti DNS Made Easy sebagai perpustakaan pinjaman, biasanya membajak domain selama 30 hingga 60 hari; namun, kami juga melihat kasus lain di mana pelaku memegang domain untuk jangka waktu yang lama, Infoblox mencatat.
“Setelah akun gratis jangka pendek berakhir, domain tersebut 'hilang' oleh pelaku ancaman pertama dan kemudian diparkir atau diklaim oleh pelaku ancaman lain.”
Beberapa pelaku ancaman DNS terkemuka yang ditemukan “menikmati” serangan Sitting Ducks tercantum di bawah ini –
- Vacant Viper, yang telah menggunakannya untuk mengoperasikan 404 TDS, selain menjalankan operasi spam berbahaya, mengirimkan pornografi, membuat perintah dan kontrol (C2), dan menghapus malware seperti DarkGate dan AsyncRAT (Berlangsung sejak Desember 2019)
- Horrid Hawk, yang telah menggunakannya untuk melakukan skema penipuan investasi dengan mendistribusikan domain yang dibajak melalui iklan Facebook yang berumur pendek (Berlangsung setidaknya sejak Februari 2023)
- Hasty Hawk, yang telah menggunakannya untuk melakukan kampanye phishing luas yang terutama meniru halaman pengiriman DHL dan situs donasi palsu yang meniru supportukrainenow[.]org dan mengklaim mendukung Ukraina (Berlangsung setidaknya sejak Maret 2022)
- VexTrio Viper yang sudah biasa mengoperasikan TDS-nya (Berlangsung sejak awal tahun 2020)
Infoblox mengatakan sejumlah afiliasi VexTrio Viper, seperti GoRefresh, juga terlibat dalam serangan Sitting Ducks untuk melakukan kampanye farmasi online palsu, serta penipuan perjudian dan kencan.
“Kami memiliki beberapa aktor yang tampaknya menggunakan domain tersebut untuk malware C2 yang eksfiltrasinya dikirim melalui layanan email,” kata Burton. “Sementara orang lain menggunakannya untuk mendistribusikan spam, para pelaku ini mengkonfigurasi DNS mereka hanya untuk menerima email.”
Hal ini menunjukkan bahwa pelaku kejahatan memanfaatkan domain yang disita untuk berbagai alasan, sehingga menempatkan bisnis dan individu dalam risiko terkena malware, pencurian kredensial, dan penipuan.
“Kami telah menemukan beberapa pelaku yang telah membajak domain dan menahannya dalam jangka waktu yang lama, namun kami belum dapat menentukan tujuan pembajakan tersebut,” tutup Infoblox. “Domain ini cenderung memiliki reputasi tinggi dan biasanya tidak diperhatikan oleh vendor keamanan, sehingga menciptakan lingkungan di mana pelaku yang cerdik dapat mengirimkan malware, melakukan penipuan yang merajalela, dan melakukan phish pada kredensial pengguna tanpa konsekuensi.”