-
09/04/2020
-
93
-
611 bài viết
Gần 70.000 tên miền bị đánh cắp trong kế hoạch tấn công Sitting Ducks
Chuyên gia an ninh mạng đã phát hiện những kẻ xấu lợi dụng kỹ thuật tấn công có tên Sitting Ducks để chiếm đoạt các tên miền hợp pháp nhằm sử dụng vào các cuộc tấn công lừa đảo và kế hoạch gian lận đầu tư trong nhiều năm.
Gần 800.000 tên miền đã đăng ký dễ bị tấn công trong 3 tháng qua, trong đó khoảng 9% (70.000) đã bị chiếm đoạt sau đó. Các chuyên gia cho biết thêm: “Tội phạm mạng đã sử dụng vec-tơ tấn công này từ năm 2018 để đánh cắp hàng chục nghìn tên miền. Các tên miền bao gồm các thương hiệu nổi tiếng, tổ chức phi lợi nhuận và các tổ chức chính phủ".
Về cơ bản, cuộc tấn công Sitting Ducks cho phép kẻ xấu chiếm quyền kiểm soát một tên miền bằng cách khai thác các cấu hình sai trong hệ thống tên miền (DNS) của tên miền đó. Điều này thường xảy ra khi DNS được trỏ đến các máy chủ tên không chính xác hoặc không có thẩm quyền.
Tuy nhiên, có một số điều kiện tiên quyết để thực hiện được điều này: Tên miền đã đăng ký phải ủy quyền dịch vụ DNS cho một nhà cung cấp khác với cơ quan đăng ký tên miền, và việc ủy quyền này không được áp dụng chính xác. Kẻ tấn công có thể "chiếm quyền" kiểm soát tên miền tại nhà cung cấp DNS, thiết lập các bản ghi DNS mà không cần truy cập vào tài khoản của chủ sở hữu hợp lệ tại cơ quan đăng ký tên miền.
Một số nhóm tin tặc như VexTrio Viper, như GoRefresh đã tham gia các cuộc tấn công kiểu "Sitting Ducks" nhằm thực hiện các chiến dịch bán dược phẩm giả mạo, cũng như các hoạt động lừa đảo cờ bạc và hẹn hò, hoặc sử dụng các tên miền bị chiếm đoạt để cài phần mềm độc hại C2, qua đó dữ liệu bị rò rỉ sẽ được gửi qua dịch vụ email. Trong khi đó, các nhóm khác lại sử dụng tên miền để gửi thư rác bằng cách cấu hình DNS nhận thư.
Gần 800.000 tên miền đã đăng ký dễ bị tấn công trong 3 tháng qua, trong đó khoảng 9% (70.000) đã bị chiếm đoạt sau đó. Các chuyên gia cho biết thêm: “Tội phạm mạng đã sử dụng vec-tơ tấn công này từ năm 2018 để đánh cắp hàng chục nghìn tên miền. Các tên miền bao gồm các thương hiệu nổi tiếng, tổ chức phi lợi nhuận và các tổ chức chính phủ".
Về cơ bản, cuộc tấn công Sitting Ducks cho phép kẻ xấu chiếm quyền kiểm soát một tên miền bằng cách khai thác các cấu hình sai trong hệ thống tên miền (DNS) của tên miền đó. Điều này thường xảy ra khi DNS được trỏ đến các máy chủ tên không chính xác hoặc không có thẩm quyền.
Tuy nhiên, có một số điều kiện tiên quyết để thực hiện được điều này: Tên miền đã đăng ký phải ủy quyền dịch vụ DNS cho một nhà cung cấp khác với cơ quan đăng ký tên miền, và việc ủy quyền này không được áp dụng chính xác. Kẻ tấn công có thể "chiếm quyền" kiểm soát tên miền tại nhà cung cấp DNS, thiết lập các bản ghi DNS mà không cần truy cập vào tài khoản của chủ sở hữu hợp lệ tại cơ quan đăng ký tên miền.
Một số nhóm tin tặc như VexTrio Viper, như GoRefresh đã tham gia các cuộc tấn công kiểu "Sitting Ducks" nhằm thực hiện các chiến dịch bán dược phẩm giả mạo, cũng như các hoạt động lừa đảo cờ bạc và hẹn hò, hoặc sử dụng các tên miền bị chiếm đoạt để cài phần mềm độc hại C2, qua đó dữ liệu bị rò rỉ sẽ được gửi qua dịch vụ email. Trong khi đó, các nhóm khác lại sử dụng tên miền để gửi thư rác bằng cách cấu hình DNS nhận thư.
Theo The Hacker News
Chỉnh sửa lần cuối: