新たに発見された脅威アクター「Savvy Seahorse」は、DNSの基本機能を利用して、その悪意あるドメインを常に変更し、取り締まりに対して抵抗力を持たせる巧妙なトラフィック配布システム(TDS)を通じて投資詐欺を行っている。このグループは、MetaやTeslaなどの大手ブランド名を偽装し、Facebook広告を9言語で展開して、被害者を偽の投資プラットフォームに誘導する。被害者がアカウントに資金を供給すると、そのお金はロシア国営銀行の攻撃者が管理すると思われるアカウントに送金される。
この詐欺は、米国連邦取引委員会(FTC)によると、2023年だけで米国の消費者が投資詐欺に46億ドルを失ったと報告されており、全ての形態の詐欺によって失われたとされる100億ドルのほぼ半分を占めている。
Savvy Seahorseは、数千に及ぶ多様で流動的なドメインを操作するTDSを運用している。このシステムを維持する鍵は、Canonical Name(CNAME)レコードであり、これを使用してTDSが新しいドメインを継続的に作成し、古いドメインを捨てることができるようにしている。
攻撃者は、すべてのドメインを一つのレジストラを通じて一括登録し、一つのインターネットサービスプロバイダ(ISP)を使用して管理することが多いが、Savvy Seahorseは30のドメインレジストラと21のISPを使用して4,200のドメインをホストしている。しかし、CNAMEはSavvy Seahorseの弱点でもある。CNAMEが指す一つの基本ドメインをブロックすることで、脅威インテリジェンスの観点からは、一撃で全てを無効化することができる。
【ニュース解説】
新たに発見された脅威アクター「Savvy Seahorse」が、DNS(ドメインネームシステム)の基本機能を悪用し、その悪意あるドメインを常に変更し、取り締まりに対して抵抗力を持たせる巧妙なトラフィック配布システム(TDS)を通じて投資詐欺を行っていることが報告されました。このグループは、MetaやTeslaなどの大手ブランド名を偽装し、Facebook広告を9言語で展開して、被害者を偽の投資プラットフォームに誘導します。被害者がアカウントに資金を供給すると、そのお金はロシア国営銀行の攻撃者が管理すると思われるアカウントに送金されます。
この種の詐欺は、2023年だけで米国の消費者が投資詐欺に46億ドルを失ったと報告されており、全ての形態の詐欺によって失われたとされる100億ドルのほぼ半分を占めています。Savvy Seahorseが他の詐欺グループと異なる点は、その支援インフラストラクチャにあります。数千に及ぶ多様で流動的なドメインを操作するTDSを運用し、Canonical Name(CNAME)レコードを使用して、新しいドメインを継続的に作成し、古いドメインを捨てることができるようにしています。
攻撃者は通常、すべてのドメインを一つのレジストラを通じて一括登録し、一つのインターネットサービスプロバイダ(ISP)を使用して管理することが多いですが、Savvy Seahorseは30のドメインレジストラと21のISPを使用して4,200のドメインをホストしています。しかし、CNAMEはSavvy Seahorseの弱点でもあります。CNAMEが指す一つの基本ドメインをブロックすることで、脅威インテリジェンスの観点からは、一撃で全てを無効化することができます。
この技術の使用は、攻撃者にとって大規模な悪意あるネットワークを迅速かつ効率的に運用する能力を与えますが、同時に、防御側にとっては、CNAMEレコードを特定し、ブロックすることで、広範囲にわたる攻撃を一度に無効化する機会も提供します。この事例は、DNSの悪用がいかに巧妙になり得るかを示しており、サイバーセキュリティの専門家には、このような攻撃を検出し、対処するための新たな戦略と技術の開発が求められています。
長期的な視点では、このような攻撃手法の出現は、DNSの管理とセキュリティ強化に関する議論を促進する可能性があります。また、サイバーセキュリティ規制やポリシーの更新を促すきっかけともなり得ます。DNSを利用した攻撃は、インターネットの基盤技術を標的とするため、その影響は広範囲に及びます。そのため、これらの攻撃に対する効果的な対策は、インターネットの安全性と信頼性を維持する上で不可欠です。
from 'Savvy Seahorse' Hackers Debut Novel DNS CNAME Trick.
