นักวิเคราะห์ภัยคุกคามจาก Palo Alto Networks พบว่ามีการโจมตีด้วยเทคนิค 'Domain shadowing' แพร่หลายมากขึ้น โดยพบว่ามีถึง 12,197 เคสขณะดำเนินการสแกนเว็ปไซต์ระหว่างเดือนเมษายนถึงมิถุนายน 2565
Domain shadowing เป็น subcategory ของการโจมตีแบบ DNS hijacking ซึ่งผู้โจมตีจะทำการเข้าโจมตีบัญชีของเจ้าของโดเมนผ่านทางฟิชชิ่ง dictionary attack หรือวิธีการอื่น ๆ จากนั้นก็แอบสร้างโดเมนย่อย ๆ จำนวนมากที่สามารถนำมาใช้สำหรับการโจมตีต่าง ๆ ได้เช่น C2 เซิร์ฟเวอร์, แพร่กระจายมัลแวร์, scams และ phishing แต่จะไม่แก้ไข DNS record ที่มีอยู่แล้ว
ความยากในการตรวจจับ
การตรวจจับ Domain shadowing จะทำได้ค่อนข้างยาก เนื่องจากการโจมตีในลักษณะนี้มีวิธีการที่ซับซ้อน ซึ่งจะต้องเข้าใจรายละเอียดของเทคนิคในการโจมตีนี้ให้ได้ก่อน นักวิเคราะห์ระบุว่า VirusTotal ระบุว่ามีเพียง 200 โดเมนที่เป็นอันตราย จาก 12,197 โดเมนที่ Palo Alto ค้นพบ
การตรวจจับจาก VirusTotal ส่วนใหญ่ 151 รายการเกี่ยวข้องกับแคมเปญฟิชชิ่งรายการเดียว โดยใช้ Domain shadowing 649 โดเมนบนเว็บไซต์ที่ถูกโจมตี 16 แห่ง
แคมเปญ Phishing Shadowing
แคมเปญฟิชชิ่งที่ถูกค้นพบโดยนักวิจัยของ Palo Alto เป็นการเข้าโจมตี 16 โดเมนเพื่อสร้าง Subdomain 649 โดเมน เพื่อเปลี่ยนเส้นทางไปยังหน้า Phishing
Subdomain ที่เปลี่ยนเส้นทางไปยังหน้า Phishing สามารถเลี่ยงการตรวจจับด้านความปลอดภัยของอีเมลได้ เนื่องจากไม่เป็นอันตราย และดูน่าเชื่อถือ ผู้โจมตีมุ่งเป้าไปที่ข้อมูลของบัญชี Microsoft และแม้ว่า URL จะไม่เกี่ยวข้องกับ Microsoft อย่างชัดเจน แต่ก็จะไม่มีคำเตือนจากเครื่องมือทางด้านความปลอดภัย
หนึ่งในกรณีตัวอย่าง คือ เจ้าของโดเมนจะรู้ตัวก็ต่อเมื่อหลังจากที่มีการสร้าง Subdomain เป็นจำนวนมาก และถูกนำไปใช้ในการโจมตีแล้ว
แม้ว่าการป้องกันการโจมตีผ่านทาง Subdomain จะเป็นหน้าที่ของเจ้าของ Domain แต่ผู้ใช้งานก็ไม่ควรประมาท ควรจะระมัดระวัง และตรวจสอบการเข้าใช้งานเว็ปไซต์ด้วยเช่นกัน
ที่มา : bleepingcomputer
You must be logged in to post a comment.