นักวิเคราะห์ภัยคุกคามจาก Palo Alto Networks พบว่ามีการโจมตีด้วยเทคนิค 'Domain shadowing' แพร่หลายมากขึ้น โดยพบว่ามีถึง 12,197 เคสขณะดำเนินการสแกนเว็ปไซต์ระหว่างเดือนเมษายนถึงมิถุนายน 2565
Domain shadowing เป็น subcategory ของการโจมตีแบบ DNS hijacking ซึ่งผู้โจมตีจะทำการเข้าโจมตีบัญชีของเจ้าของโดเมนผ่านทางฟิชชิ่ง dictionary attack หรือวิธีการอื่น ๆ จากนั้นก็แอบสร้างโดเมนย่อย ๆ จำนวนมากที่สามารถนำมาใช้สำหรับการโจมตีต่าง ๆ ได้เช่น C2 เซิร์ฟเวอร์, แพร่กระจายมัลแวร์, scams และ phishing แต่จะไม่แก้ไข DNS record ที่มีอยู่แล้ว

ความยากในการตรวจจับ
การตรวจจับ Domain shadowing จะทำได้ค่อนข้างยาก เนื่องจากการโจมตีในลักษณะนี้มีวิธีการที่ซับซ้อน ซึ่งจะต้องเข้าใจรายละเอียดของเทคนิคในการโจมตีนี้ให้ได้ก่อน นักวิเคราะห์ระบุว่า VirusTotal ระบุว่ามีเพียง 200 โดเมนที่เป็นอันตราย จาก 12,197 โดเมนที่ Palo Alto ค้นพบ
การตรวจจับจาก VirusTotal ส่วนใหญ่ 151 รายการเกี่ยวข้องกับแคมเปญฟิชชิ่งรายการเดียว โดยใช้ Domain shadowing 649 โดเมนบนเว็บไซต์ที่ถูกโจมตี 16 แห่ง (more…)

JSOF บริษัทที่ปรึกษาด้านความปลอดภัยจากประเทศอิสราเอลได้เปิดเผยช่องโหว่ในซอฟต์แวร์สำหรับให้บริการ Network Service ที่ชื่อ Dnsmasq จำนวน 7 รายการ โดยนักวิจัยได้เรียกช่องโหว่นี้ว่า DNSpooq ซึ่งช่องโหว่จะทำให้ผู้โจมตีสามารถทำการ DNS Cache Poisoning Attack, เรียกใช้โค้ดได้จากระยะไกลและรวมถึงการโจมตีแบบปฏิเสธการให้บริการ (DoS) กับอุปกรณ์ที่ได้รับผลกระทบหลายล้านเครื่อง

Dnsmasq เป็นซอฟต์แวร์ที่ให้บริการ Network Service อย่างเช่น DNS Server, DNS Forwarder, DNS caching, และ Dynamic Host Configuration Protocol (DHCP) และมีความเหมาะสมกับการใช้งานใน Internet-of-Things (IoT) และอุปกรณ์ embedded อื่นๆ

ช่องโหว่ DNSpooq สามช่องโหว่ซึ่งมีลักษณะ DNS Cache Poisoning Attack ถูกติดตามด้วยรหัส CVE-2020-25686, CVE-2020-25684 และ CVE-2020-25685 ช่องโหว่จะอนุญาตให้ผู้โจมตีสามารถเปลื่ยนแปลง DNS record ของอุปกรณ์ได้ โดยผู้โจมตีจะสามารถรีไดเร็คผู้ใช้ไปยังเซิร์ฟเวอร์ที่เป็นอันตรายของผู้ประสงค์ร้ายในขณะที่ผู้ใช้เยี่ยมชมเว็บไซต์อยู่และจะสามารถทำการโจมตีแบบฟิชชิง, ขโมยข้อมูล Credential หรือทำการแพร่มัลแวร์ไปยังผู้ใช้ได้โดยไม่รู้ตัว

ส่วนช่องโหว่ที่เหลืออีกสี่รายการคือ CVE-2020-25687, CVE-2020-25683, CVE-2020-25682 และ CVE-2020-25681 โดยช่องโหว่ทั้งสี่นี้จะเป็นช่องโหว่การเรียกใช้โค้ดได้จากระยะไกลบนอุปกรณ์ ซึ่งอาจนำไปสู่การเรียกใช้โค้ดได้หาก Dnsmasq เปิดใช้ DNSSEC

JSOF ยังได้ระบุอีกว่าปัจจุบันเซิร์ฟเวอร์ Dnsmasq มากกว่า 1 ล้านเครื่องถูกเปิดเผยบนอินเทอร์เน็ตตามข้อมูลของ Shodan และมากกว่า 630,000 เครื่องตามข้อมูลของ BinaryEdge มีความเสี่ยงต่อการถูกโจมตี อย่างไรก็ดี JSOF ได้แนะนำให้ผู้ใช้ทำการอัปเดตซอฟต์แวร์ Dnsmasq ให้เป็นเวอร์ชันล่าสุดคือ 2.83 หรือใหม่กว่า เพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

นักวิจัยค้นพบการทำ DNS Hijacking โดยกำหนดเป้าหมายเป็นกลุ่มลูกค้าของธนาคารในประเทศบราซิล

ผู้โจมตีพุ่งเป้าไปยังเราเตอร์ DLink DSL เพื่อเปลี่ยนการตั้งค่าเซิร์ฟเวอร์ DNS ให้ชี้ไปยังเซิร์ฟเวอร์ DNS ที่อยู่ภายใต้การควบคุม การโจมตีดังกล่าวส่งผลให้ผู้โจมตีสามารถขโมยข้อมูลสำคัญที่ใช้สำหรับเข้าสู่ระบบของผู้ใช้งานได้ โดยการเปลี่ยนเส้นทางของผู้ใช้ที่พยายามเชื่อมต่อกับเว็บไซต์ธนาคารที่ปลอดภัยไปยังเว็บไซต์ที่เป็นอันตรายที่แฮกเกอร์สร้างขึ้น(redirect)

จากการวิเคราะห์โดยผู้เชี่ยวชาญพบว่าผู้โจมตีได้มีการเปลี่ยนเส้นทางไปใช้เซิร์ฟเวอร์ DNS สองเครื่องคือ 69.162.89.185 และ 198.50.222.136 ซึ่ง DNS ทั้งสองตัวจะเปลี่ยนเส้นทางของเว็บไซต์ Banco de Brasil (www.