СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12 июня
#ИБ#Облака

Отравление SEO через захват облачных DNS-зон

Labs CRIL (Cyble Research & Intelligence) выявили масштабную кампанию SEO poisoning, в которой злоумышленники используют заброшенные делегирования зон облачной DNS для продвижения тайского gambling content. По данным исследователей, атака затронула 163 organizations в более чем 30 странах.

Ключевой особенностью операции стало zone hijacking в среде Azure DNS. Атакующие воспользовались распространенной ошибкой: после вывода cloud infrastructure из эксплуатации администраторы не удалили связанные NS delegations. В результате осиротевшие зоны оказались доступны для захвата через новые Azure subscriptions.

Как работает атака

После обнаружения заброшенных зон злоумышленники регистрировали их заново и развертывали приложения с gambling content, маскируя их под legitimate corporate domains. Для повышения доверия использовались действительные TLS certificates от Let’s Encrypt.

Сама схема включала несколько взаимосвязанных механизмов:

  • захват DNS zones в Azure, затронувший более 150 organizations;
  • использование name resolution issue;
  • развертывание wildcard A records, которые перенаправляли все subdomains скомпрометированной организации на заданные IP addresses;
  • получение сертификатов в процессе эксплуатации;
  • направление трафика на gambling registration pages через affiliate marketing infrastructure.

CRIL также зафиксировала сложную инфраструктуру, обслуживавшую кампанию. Помимо автоматизированной DNS-эксплуатации, она включала систематическую монетизацию через affiliate structures. Среди индикаторов компрометации исследователи отметили:

  • широкое использование идентичных Next.js applications;
  • последовательные outbound affiliate redirects через скомпрометированные domains;
  • массовую генерацию записей, вероятно, с помощью automated DNS scripts или скомпрометированных DNS credentials.

Масштаб и география кампании

Особое внимание в отчете уделено обнаружению более 1 000 subdomains с уникальными именами, связанными с доменом Verizon. Каждый из них обслуживал gambling content, что указывает на массовое создание записей. По оценке CRIL, это могло происходить автоматически — либо через скрипты, либо с использованием украденных учетных данных.

Кроме того, в двух случаях атака распространилась и на DigitalOcean DNS zones, что подтвердило способность атакующего работать сразу с несколькими cloud providers.

В чем уязвимость

CRIL подчеркивает, что проблема связана не с классическим взломом периметра, а с ошибками в управлении DNS-конфигурациями в cloud environments. Если NS delegations остаются закрепленными после отмены проекта или вывода сервиса из эксплуатации, злоумышленник может перехватить заброшенную зону и получить авторитет домена без проникновения в корпоративную инфраструктуру.

«Заброшенные зоны могут часто захватываться новыми абонентами, что позволяет злоумышленникам получать доступ к легитимному авторитету домена без необходимости проникновения через какие-либо периметры безопасности».

Рекомендации по защите

Для снижения рисков исследователи рекомендуют сосредоточиться на управлении DNS и регулярном аудите записей. В частности:

  • удалять NS delegations для скомпрометированных или выведенных из эксплуатации zones;
  • проводить аудит всех DNS records;
  • проверять cloud DNS configurations на наличие остаточных связей с закрытыми проектами;
  • организовать мониторинг на уровне DNS, а не полагаться только на традиционные security tools;
  • обеспечивать прозрачное управление настройками cloud DNS.

CRIL отмечает, что такая атака может оставаться незамеченной именно потому, что используется доверенный домен и действительный сертификат. Поэтому обнаружение угрозы зависит от внимательного DNS monitoring, а не только от средств защиты на уровне endpoint или perimeter.

Вывод отчета однозначен: остаточные DNS artifacts от выведенных из эксплуатации проектов представляют серьезный риск. Если ими не управлять, они могут быть присвоены злоумышленниками и использованы для масштабного распространения вредоносного или мошеннического контента без какого-либо прямого доступа к системам предприятия.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: