01/03/24
Компания Infoblox сообщает, что киберпреступная группировка Savvy Seahorse злоупотребляет записями CNAME для создания системы распределения трафика, поддерживающей кампании финансового мошенничества. Операция началась не позднее августа 2021 года и характеризуется короткими волнами атак, продолжающимися от 5 до 10 дней, пишет Securitylab.
Мошенники привлекают жертв через рекламу в Facebook*, направляя их на фальшивые инвестиционные платформы, где людей обманом заставляют вносить средства и вводить конфиденциальные личные данные. Отличительной особенностью кампаний является использование чат-ботов, которые напрямую взаимодействуют с жертвами, убеждая их в высокой доходности инвестиций и автоматизируя процесс мошенничества.
Savvy Seahorse творчески использует записи Canonical Name (CNAME) в качестве системы распределения трафика (Traffic Delivery System, TDS) для своих операций, что позволяет легко менять IP-адреса для уклонения от обнаружения.
Запись CNAME — это запись DNS, которая сопоставляет домен или поддомен с другим доменным именем, а не непосредственно с IP-адресом. Это приводит к тому, что CNAME действует как псевдоним для целевого домена, что упрощает управление перенаправлениями и гарантирует, что любые изменения IP-адреса целевого домена автоматически применяются и к CNAME.
Для своих атак Savvy Seahorse регистрирует множество поддоменов, которые связаны общей CNAME-записью, указывающей на основной домен кампании. Такая техника обеспечивает единый IP-адрес для всех записей, упрощая ротацию целей при блокировке IP-адресов средствами безопасности и помогая избежать обнаружения.
Такой подход требует от злоумышленников более глубоких знаний в области DNS, но до сих пор оставался малоизученным в литературе по кибербезопасности. Infoblox отмечает, что это первый публично зафиксированный случай злоупотребления CNAME для TDS.
Savvy Seahorse использует алгоритмы генерации доменов (Domain Generation Algorithms, DGA) для создания и управления тысячами доменов в системе CNAME TDS. Такие домены могут менять свой статус с «parked» на «in testing» и «active campaign», что усложняет отслеживание и картографирование их инфраструктуры.
Отличительной чертой Savvy Seahorse является распределение инфраструктуры по множеству регистраторов и хостинг-провайдеров, чтобы не привлекать внимание и обеспечить операционную устойчивость.
Мошеннические поддомены размещают формы регистрации, предназначенные для кражи личной информации обманутых жертв. После отправки данных поддомен проверяет местоположение жертвы по IP-адресу и подлинность предоставленной информации, после чего подтвержденные пользователи перенаправляются на поддельную торговую платформу, где им предлагается пополнить баланс с помощью банковских карт, криптовалюты и других методов оплаты.
Чат-боты, правдоподобно имитирующие ChatGPT, WhatsApp и Tesla, играют ключевую роль в социальной инженерии. Страницы мошенников также используют трекеры Meta* Pixel для отслеживания эффективности, что, вероятно, используется для совершенствования тактик.
Для получения полного списка индикаторов компрометации и доменов, используемых в кампаниях Savvy Seahorse, можно ознакомиться с полным отчетом компании.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
