Мёртвые домены атакуют: как устроена операция SubdoMailing

В масштабной фишинговой операции «SubdoMailing», которая была раскрыта специалистами из Guardio Labs, злоумышленниками было скомпрометировано более 8 000 поддоменов известных брендов и учреждений, включая eBay, VMware, McAfee, The Economist, Университет Корнелла, CBS, Marvel и т.д. Эта операция, как выявили исследователи, является частью более крупных действий конкретной хакерской группировки, направленных на подрыв доверия и кредитоспособности скомпрометированных организаций.

Операция SubdoMailing позволяет злоумышленникам отправлять миллионы злонамеренных электронных писем ежедневно, которые, казалось бы, исходят от доверенных доменов и обходят все стандартные меры безопасности электронной почты, такие как SPF, DKIM, SMTP Server и DMARC. Эта кампания характеризуется сложными манипуляциями с DNS-записями захваченных доменов, что позволяет отправлять спам и вредоносные электронные письма от имени международно признанных брендов.

Раскрытие этой вредоносной схемы произошло после того, как системы защиты электронной почты Guardio обнаружили необычные паттерны в метаданных электронного письма, связанного с давно устаревшим партнёрством между американской телеведущей Мартой Стюарт и MSN.com. В результате детального исследования, исследователи обнаружили классическую схему захвата поддоменов, где электронные письма, отправляемые с определённых IP-адресов, ошибочно пропускались системами безопасности как законные.

Guardio отследила поддомен «msnmarthastewartsweeps.com» до промоушен-кампании, проведённой 22 года назад, которая была заново зарегистрирована с использованием компании-регистратора доменных имён Namecheap в сентябре 2022 года. Сейчас этот домен контролируется злоумышленником, который имеет возможность отправлять электронные письма от имени msn.com.

Хакерское объединение, которое эксперты Guardio отслеживают под названием «ResurrecAds», используют стратегию воскрешения «мёртвых» доменов, связанных с крупными брендами, для использования их в качестве бэкдора для эксплуатации легитимных сервисов и брендов с целью получения прибыли. Эта группа демонстрирует высокий уровень организации и технической изощрённости, постоянно сканируя Интернет на предмет забытых поддоменов уважаемых брендов для их покупки или компрометации.

В свете растущей сложности мошеннических электронных операций, компания Guardio Labs даже создала специальный веб-сайт с инструментом SubdoMailing Checker для проверки использования заброшенных доменов в этой операции. Этот инструмент может предоставить организациям всю информацию об известных злоупотреблениях, типах захвата и соответствующих поддоменах, а также SPF-записях, требующих внимания.