قام المهاجمون باختراق أكثر من 8,000 نطاق فرعي من علامات تجارية ومؤسسات معروفة لشن هجوم مترامي الأطراف التصيد حملة ترسل رسائل بريد إلكتروني ضارة يصل عددها إلى الملايين كل يوم.
MSN، وVMware، وMcAfee، وThe Economist، وجامعة كورنيل، وCBS، وMarvel، وeBay هي من بين الكيانات التي تم القبض عليها في "SubdoMailing" - التي أطلق عليها باحثون من Guardio Labs الذين اكتشفوا الحملة، التي تقع في قلب مشروع أكبر لجرائم الإنترنت وقالوا إنها تقوض ثقة ومصداقية المنظمات المتضررة.
"تتضمن العملية التي تم الكشف عنها التلاعب بآلاف النطاقات الفرعية المختطفة التي تنتمي إلى العلامات التجارية الكبرى أو التابعة لها"، حسبما قال رئيس Guardio Labs للأمن السيبراني ناتي تال والباحث الأمني أوليغ زايتسيف. كتب في منشور على منصة مشاركة المحتوى Medium. "سمحت عمليات التلاعب المعقدة بنظام DNS لهذه النطاقات بإرسال كميات هائلة من رسائل البريد الإلكتروني غير المرغوب فيها ورسائل البريد الإلكتروني الضارة تمامًا، والتي تم ترخيصها بشكل خاطئ تحت ستار العلامات التجارية المعترف بها دوليًا."
تم تصميم الحملة بحيث تبدو رسائل البريد الإلكتروني وكأنها واردة من نطاقات موثوقة وتتجاوز جميع معايير الصناعة تدابير أمن البريد الإلكتروني عادةً ما يتم استخدامه لحظر الرسائل المشبوهة، بما في ذلك إطار سياسة المرسل (SPF) وDKIM وخادم SMTP و DMARC, قال الباحثون.
اكتشاف مخطط الاختطاف
يشرح Guardio بالتفصيل في المنشور كيف اكتشف العملية بعد أن قامت أنظمة حماية البريد الإلكتروني الخاصة به بوضع علامة على بريد إلكتروني بحثًا عن أنماط غير عادية في البيانات التعريفية للبريد الإلكتروني. لقد أرسل الباحثون إلى حفرة أرنب أدت في النهاية إلى شراكة طويلة الأمد بين خبيرة أسلوب الحياة مارثا ستيوارت وموقع MSN.com.
كان المثال المذكور عبارة عن "رسالة بريد إلكتروني ماكرة بشكل خاص" تنبه شخصًا ما إلى نشاط مشبوه مزعوم داخل حساب تخزين سحابي انتهى به الأمر في صندوق البريد الوارد "الأساسي" للمستخدم عندما كان من المفترض أن يتم وضع علامة عليه كبريد عشوائي.
يؤدي البريد الإلكتروني - الذي تم إنشاؤه كصورة لتجنب مرشحات البريد العشوائي المستندة إلى النصوص - إلى تشغيل سلسلة من عمليات إعادة توجيه النقرات عبر نطاقات مختلفة تعتبر نموذجية لحملات التصيد الاحتيالي. تتحقق عمليات إعادة التوجيه في هذه الحالة من نوع جهاز الضحية وموقعه الجغرافي، وتقودهم إلى محتوى مختلف مصمم خصيصًا لتحقيق أقصى قدر من الربح، مثل الإعلانات أو الروابط التابعة التي تؤدي إلى كاميرات الاختبار أو مواقع التصيد الاحتيالي أو حتى البرامج الضارة.
عند تتبع مسار كيفية تجاوز البريد الإلكتروني للفحص الأمني والحماية، وجد الباحثون ما اعتبروه "نطاقًا فرعيًا كلاسيكيًا" مخطط الاختطاف". على الرغم من أن البريد الإلكتروني نشأ من 62.244.33.18، وهو خادم SMTP في كييف، فقد تم وضع علامة عليه على أنه مرسل من [البريد الإلكتروني محمي].
وأشار الباحثون إلى أن هذا قد يبدو ظاهريًا مشروعًا؛ ومع ذلك، في السيناريو، سمح النطاق الفرعي لـ msn.com لخادم SMTP على الرقم 62.244.33.18 بإرسال رسائل بريد إلكتروني، مما يثير التساؤل حول شرعية عملية الموافقة هذه، على حد قولهم.
عند الفحص الدقيق لسجل DNS للنطاق الفرعي marthastewart.msn.com، وجد الباحثون أنه مرتبط بنطاق آخر بسجل CNAME هذا، وهو msnmarthastewartsweeps.com. وهذا يعني أن "النطاق الفرعي يرث سلوك موقع msnmarthastewartsweeps.com بالكامل، بما في ذلك سياسة نظام التعرف على هوية المرسل (SPF) الخاص به"، وفقًا لما جاء في المنشور.
توصلت التحقيقات أيضًا إلى أن سياسة نظام التعرف على هوية المرسل (SPF) تستخدم صيغة تسمح بتوسيع قائمة IP للمرسلين المعتمدين باستخدام سجلات نظام التعرف على هوية المرسل (SPF) الخاصة بالمجالات الأخرى. عندما قاموا بالاستعلام بشكل متكرر عن سجل SPF، وجدوا قائمة تضم 17,826 عنوان IP، من بينها 62.244.33.18، مما يسمح بشكل أساسي بالموافقة على جميع تلك العناوين ضمن المجال الفرعي MSN.com المختطف. وقال الباحثون إن هذا يسمح في النهاية لرسائل البريد الإلكتروني المرسلة من هذه النطاقات بتمرير وسائل حماية أخرى أيضًا.
قام Guardio في النهاية بتتبع النطاق الفرعي msnmarthastewartsweeps.com إلى حملة يانصيب ترويجية منذ 22 عامًا. على الرغم من التخلي عن النطاق لمدة 21 عامًا، فقد تم تسجيله بشكل خاص مرة أخرى لدى Namecheap في سبتمبر 2022.
وكتب الباحثون: "الآن، المجال مملوك لجهة فاعلة محددة لديها سيطرة على سجلات DNS الخاصة بها، ونتيجة لذلك، تتحكم في سجل نطاق MSN الفرعي أيضًا". "لذلك، في هذه الحالة، يمكن للممثل إرسال رسائل بريد إلكتروني إلى أي شخص يرغب فيه كما لو أن موقع msn.com ومرسلي البريد المعتمدين لديهم أرسلوا رسائل البريد الإلكتروني هذه."
ممثل تهديد واحد
يعزو Guardio الحملة الواسعة إلى جهة تهديد يتم تتبعها باسم "ResurrecAds"، والتي تستخدم استراتيجية إحياء النطاقات "الميتة" الخاصة بـ/أو التابعة للعلامات التجارية الكبرى لاستخدامها كأبواب خلفية لاستغلال الخدمات والعلامات التجارية المشروعة لتحقيق الهدف النهائي المتمثل في الربح كبوابة خلفية. كيان "شبكة الإعلانات".
وكتب الباحثون: "هذا النهج يمكّنهم من التحايل على إجراءات حماية البريد الإلكتروني المعاصرة، وإظهار مهارتهم في التلاعب بالنظام البيئي للإعلان الرقمي لتحقيق مكاسب شائنة".
وكجزء من نشاطه الخبيث، يقوم الممثل بمسح الإنترنت باستمرار بحثًا عن النطاقات الفرعية المنسية لعلامات تجارية محترمة لتحديد فرص شرائها أو اختراقها لنشر رسائل بريد إلكتروني ضارة، وفقًا لـGuardio.
وقال الباحثون إن ResurrecAds جمعت في هذه المهمة "شبكة واسعة من النطاقات وأصول الملكية الفكرية المختطفة والمكتسبة عمدًا، مما يشير إلى مستوى عالٍ من التنظيم والتطور الفني في الحفاظ على هذا النطاق الواسع من العمليات".
التحقق من التسوية
الحملة توضح التطور المتزايد من حملات البريد الإلكتروني الضارة، والتي كانت موجودة منذ بداية هذا الشكل من الاتصالات الرقمية تقريبًا ولكنها مستمرة في التطور مع تطور وسائل الحماية الأمنية مثل SPM وDKIM وDMARC أيضًا ويتم تطبيقها على نطاق أوسع من قبل المدافعين.
"لقد كشف بحثنا أن الجهات الفاعلة في مجال التهديد لا تتفاعل فقط مع التدابير الأمنية؛ لقد كانوا التكيف بشكل استباقي وكتب الباحثون: "وتتطور لبعض الوقت".
نظرًا لأن العملية منتشرة جدًا ولا تزال نشطة، فقد أنشأها Guardio موقع خاص باستخدام أداة، SubdoMailing Checker، للتحقق مما إذا كان المجال المهجور للموقع قيد الاستخدام في العملية.
يتم تحديث الصفحة يوميًا بأحدث النطاقات المتأثرة بالاختراق المستند إلى CNAME ونظام التعرف على هوية المرسل (SPF)، كما اكتشفتها أنظمة Guardio، وتمنح المؤسسات "جميع تفاصيل الانتهاكات المعروفة ونوع الاختطاف والمجالات الفرعية ذات الصلة وسجلات نظام التعرف على هوية المرسل (SPF) المطلوبة" وأوضح الباحثون.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/application-security/ebay-vmware-mcafee-sites-hijacked-sprawling-phishing-operation
- :لديها
- :يكون
- :ليس
- $ UP
- 000
- 17
- 2022
- 21
- 22
- 33
- 62
- 8
- a
- الانتهاكات
- وفقا
- حسابي
- المكتسبة
- نشط
- نشاط
- الفاعل
- الجهات الفاعلة
- عناوين
- دعاية
- التسويق بالعمولة
- التابعة
- بعد
- مرة أخرى
- منذ
- الكل
- سمح
- السماح
- يسمح
- أيضا
- جمعت
- من بين
- an
- و
- آخر
- أي شخص
- تظهر
- تطبيقي
- نهج
- موافقة
- من وزارة الصحة
- هي
- حول
- AS
- ممتلكات
- At
- اهتمام
- سمات
- مخول
- تجنب
- خلفي
- في الأساس
- كان
- سلوك
- يجري
- انتماء
- ما بين
- كبير
- حظر
- على حد سواء
- العلامات التجارية
- فواصل
- واسع
- لكن
- by
- تجنب
- دعوات
- الحملات
- الحملات
- CAN
- حقيبة
- اشتعلت
- التحقق
- تدقيق
- راوغ
- استشهد
- كلاسيكي
- أقرب
- سحابة
- سحابة التخزين
- COM
- تأتي
- Communication
- مجمع
- حل وسط
- تسوية
- نتيجة
- معاصر
- محتوى
- استمر
- بشكل متواصل
- مراقبة
- ضوابط
- كورنيل
- وضعت
- خلق
- المصداقية
- الجريمة الإلكترونية
- يوميا
- يوم
- ميت
- تعتبر
- المدافعين عن حقوق الإنسان
- يوضح
- التفاصيل
- تفاصيل
- الكشف عن
- جهاز
- مختلف
- رقمي
- الإعلان الرقمي
- اكتشف
- اكتشاف
- إرسال
- DNS
- نطاق
- المجالات
- إلى أسفل
- كل
- يباي
- الإيكونومست
- النظام الإيكولوجي
- البريد الإلكتروني
- رسائل البريد الإلكتروني
- توظف
- تمكن
- انتهى
- كامل
- الكيانات
- كيان
- الأثير (ETH)
- حتى
- في النهاية
- يتطور
- المتطورة
- فحص
- مثال
- توسيع
- شرح
- استغلال
- واسع
- مرشحات
- مرصوف
- متابعيك
- في حالة
- نسي
- النموذج المرفق
- وجدت
- الإطار
- تبدأ من
- إضافي
- الرأس مالية
- جغرافي
- يعطي
- هدف
- الحرس
- شكل
- يملك
- رئيس
- قلب
- مرتفع
- خطف
- حفرة
- كيفية
- لكن
- HTTPS
- تحديد
- if
- صورة
- أثر
- in
- بداية
- بما فيه
- مبينا
- المؤسسات
- عالميا
- Internet
- إلى
- ينطوي
- IP
- IT
- انها
- JPG
- م
- معروف
- مختبرات
- أكبر
- آخر
- قيادة
- ليد
- شرعية
- شرعي
- مستوى
- نمط الحياة
- مرتبط
- وصلات
- قائمة
- موقع
- المحافظة
- خبيث
- البرمجيات الخبيثة
- التلاعب
- تلاعب
- التلاعب
- أعجوبة
- تعظيم
- مكافي
- يعني
- الإجراءات
- متوسط
- مجرد
- رسائل
- البيانات الوصفية
- ملايين
- المهمة
- الأكثر من ذلك
- MOUNT
- MSN
- Namecheap
- عين
- تقريبا
- حاجة
- شبكة
- وأشار
- الآن
- of
- on
- عملية
- عمليات
- الفرص
- or
- منظمة
- المنظمات
- نشأت
- أخرى
- لنا
- صريح
- على مدى
- مملوكة
- صفحة
- جزء
- خاصة
- الشراكة
- pass
- الماضي
- أنماط
- التصيد
- مواقع التصيد
- المكان
- المنصة
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- سياسة
- منشور
- ابتدائي
- عملية المعالجة
- الربح
- الترويجية
- محمي
- الحماية
- شراء
- كميات
- سؤال
- اختبار قصير
- أرنب
- الرد
- المعترف بها
- سجل
- تسجيل
- مسجل
- ذات الصلة
- بحث
- الباحث
- الباحثين
- محترم
- أظهرت
- s
- قال
- حجم
- مسح
- مسح
- سيناريو
- مخطط
- أمن
- تدابير أمنية
- بدا
- إرسال
- مرسل
- يرسل
- أرسلت
- سبتمبر
- مسلسلات
- الخادم
- خدماتنا
- ينبغي
- التفضيل
- منذ
- عزباء
- الموقع
- المواقع
- So
- بعض
- شخص ما
- التكلف
- البريد المزعج
- تختص
- محدد
- المدعومة
- المترامية الاطراف
- ستيوارت
- لا يزال
- تخزين
- الإستراتيجيات
- فرعي
- هذه
- المساحة
- مشكوك فيه
- بناء الجملة
- أنظمة
- تناسب
- تقني
- من
- أن
- •
- الخبير الاقتصادي
- من مشاركة
- منهم
- تشبه
- هم
- هؤلاء
- على الرغم من؟
- الآلاف
- التهديد
- الجهات التهديد
- عبر
- الوقت
- إلى
- أداة
- نحو
- تعقب
- أثر
- الثقة
- افضل
- نوع
- نموذجي
- عادة
- نهائي
- في النهاية
- كشف
- مع
- جامعة
- غير عادي
- تحديث
- تستخدم
- مستعمل
- مستخدم
- يستخدم
- استخدام
- مختلف
- كبير
- ضحية
- في إم وير
- وكان
- طريق..
- حسن
- معروف
- ابحث عن
- متى
- سواء
- التي
- في حين
- من الذى
- على نحو واسع
- رغبة
- مع
- في غضون
- سوف
- كتب
- سنوات
- حتى الآن
- زفيرنت