Киберпреступникам удалось получить контроль более чем над 35 тыс. зарегистрированных доменов, используя вектор DNS-атаки под названием «Sitting Ducks».
Суть заключается в эксплуатации ошибок конфигурации на уровне регистратора и недостаточной проверке владельца со стороны провайдера. На Sitting Ducks обратили внимание специалисты компаний Infoblox и Eclypsium. По их словам, в Сети удалось обнаружить более миллиона доменов, уязвимых перед этим вектором атаки.
Исследователи считают, что за эксплуатацией Sitting Ducks стоит «множество российских киберпреступных групп», которые используют взломанные домены для рассылки спама и в фишинговых кампаниях. Интересно, что Sitting Ducks описывался ещё в 2016 году Мэтью Брайантом из Snap.
Тем не менее вектор продолжает работать, однако для успешной атаки нужен ряд условий:
Как объясняют в Infoblox, атакующие могут задействовать Sitting Ducks для захвата доменов, использующих DNS-службы, например, от хостера. Для начала злоумышленнику надо будет создать учётную запись в системе DNS-провайдера, а потом заявить свои права на домен.
После этого киберпреступник создаёт вредоносный веб-сайт и настраивает параметры DNS таким образом, чтобы IP резолвился на поддельный адрес. У законного владельца при этом не будет возможности поменять DNS-записи.
Суть заключается в эксплуатации ошибок конфигурации на уровне регистратора и недостаточной проверке владельца со стороны провайдера. На Sitting Ducks обратили внимание специалисты компаний Infoblox и Eclypsium. По их словам, в Сети удалось обнаружить более миллиона доменов, уязвимых перед этим вектором атаки.
Исследователи считают, что за эксплуатацией Sitting Ducks стоит «множество российских киберпреступных групп», которые используют взломанные домены для рассылки спама и в фишинговых кампаниях. Интересно, что Sitting Ducks описывался ещё в 2016 году Мэтью Брайантом из Snap.
Тем не менее вектор продолжает работать, однако для успешной атаки нужен ряд условий:
- целевой домен должен использовать или делегировать службы DNS провайдеру, который при этом не является регистратором;
- сервер имён не может разрешать запросы, поскольку ему не хватает информации о домене (некорректное делегирование);
- DNS-провайдер должен разрешить заявку на домен без надлежащего подтверждения права собственности или требований доступа к аккаунту владельца.
Как объясняют в Infoblox, атакующие могут задействовать Sitting Ducks для захвата доменов, использующих DNS-службы, например, от хостера. Для начала злоумышленнику надо будет создать учётную запись в системе DNS-провайдера, а потом заявить свои права на домен.
После этого киберпреступник создаёт вредоносный веб-сайт и настраивает параметры DNS таким образом, чтобы IP резолвился на поддельный адрес. У законного владельца при этом не будет возможности поменять DNS-записи.
