Tiefgreifende Analyse einer Phishing-Kampagne im Gastgewerbe zeigt globale Bedrohung
Redaktion und weitere Kommentare von Tricia Howard
Zusammenfassung
Die Forscher von Akamai haben eine aktive, ausgeklügelte Phishing-Kampagne weiter untersucht, die auf Websites im Gastgewerbe und ihre Kunden ausgerichtet ist.
Die Kampagne stellt eine globale Bedrohung dar – so ist in der Schweiz, Hongkong und Kanada beträchtlicher DNS-Traffic zu beobachten. Und wir haben auch viele Anfragen in Italien, Argentinien und Singapur erlebt.
Obwohl wir ursprünglich davon ausgingen, dass die Kampagne erst seit September 2023 aktiv war, zeigt die Domainregistrierung bereits im Juni 2023 die Registrierung und Abfrage von Domainnamen.
Einführung
Trotz jahrelanger Awareness-Programme und Diskussionen bleibt Phishing die größte Cyberbedrohung für Unternehmen und Einzelpersonen. Die zunehmende Komplexität und der präzise Fokus entsprechender Kampagnen sind erschreckend. Wir haben diese Eigenschaften selbst erlebt: in der Infrastruktur hinter einem Betrug rund um ein Gewinnspiel zu den Feiertagen, in den Krypto-Geschenk-Betrugsfällen sowie in einer auf das Gastgewerbe ausgerichteten Kampagne, die im September 2023 entdeckt wurde.
Nach unserer ersten Analyse der zweiten Ebene dieser Gastgewerbe-Kampagne wurde klar, dass wir tiefer eintauchen mussten.
Unser einzigartiger Blick auf die Onlinelandschaft
Akamai sieht DNS-Abfragetraffic in riesigem Maßstab und aus einer Vielzahl von Ländern weltweit. Viele unserer Kunden, die DNS-Resolver von Akamai einsetzen, teilen anonymisierte Protokolle mit uns, die wir dann zur Erforschung und Analyse von Bedrohungen sowie zum Schutz von Endnutzern verwenden können. Dieser einzigartige Blick der Onlinelandschaft bildet die Grundlage für ein tieferes Verständnis dieser Phishing-Kampagne.
In diesem Blogbeitrag untersuchen wir die DNS-Abfragen, den Traffic und die vollqualifizierten Domainnamen (Fully Qualified Domain Names, FQDNs), die mit den im Rahmen der Kampagne entdeckten IOCs verbunden sind.
Domainnamen-Cluster
Die tiefere Datenanalyse beginnt mit unserer umfassenden internen FQDN-Statistiktabelle, in der jeder einzelne FQDN aufgelistet ist, der im DNS-Traffic von unserem Team beobachtet wurde. Diese Tabelle bietet außerdem weiteren Kontext für die FQDNs, wie Zeitstempel und zusätzliche Metadaten. Das ermöglicht eine gründlichere und genauere Analyse, wenn wir einen bestimmten Aspekt untersuchen wollen, wie es bei dieser Kampagne der Fall war.
Auf der Suche nach Mustern
Wir beginnen unsere Analyse mit der ersten IP, die unsere Bedrohungsforscher entdeckt haben: 91.215.40[.]30 Wir sehen, dass sie zum ASN AS57724 gehört, der anscheinend russischen Ursprungs ist.
Da wir wissen, dass die Kampagne mindestens seit Anfang September 2023 aktiv ist, filtern wir diese Tabelle zunächst nach FQDNs, die in den letzten Monaten in 91.215.40[.]30 aufgelöst wurden (Tabelle 1).
FQDN |
Cluster |
|---|---|
service10.wakkofkznmartyxa3244[.]site |
wakk |
booking.reservation-accept[.]info |
dashed |
booking.com-id2834440[.]info |
.com-id |
service10.wakkofkznmartyxa3244[.]site |
wakk |
booking.id17825117[.]date |
.id |
www.yandex.sberbank.com-id409712[.]com |
.com-id |
booking.id301628951[.]date |
.id |
booking.acquire-transaction[.]cloud |
dashed |
booking.com.id60157261[.]date |
.com.id |
static.wakkofkznmartyxa3244[.]site |
wakk |
booking.com-id2435142[.]info |
.com-id |
service10.wakkofkznmartyxa3244[.]site |
wakk |
booking.check-request[.]info |
dashed |
service10.wakkofkznmartyxa3244[.]site |
wakk |
pay.avito.avito.avito.com-id20341[.]info |
.com-id |
Tabelle. 1: Stichprobe von FQDNs, die in 91.215.40[.]30 aufgelöst wurden
Obwohl einige dieser FQDNs typischerweise klassischere Combosquatting-Techniken nutzen, wie das Einfügen des Schlüsselworts „reservation“, gibt es auch einige Wörter, die für Menschen keinen Sinn ergeben, wie „wakkofkznmartyxa3244“.
Wie Sie in Tabelle 1 sehen können, gibt es in den FQDNs einige ziemlich deutliche visuelle Muster. Wir können die FQDNs nun mit der Combosquatting-Technik oder – im Falle unverständlicher Domainnamen: – anhand einer Stichprobe des FQDN-Texts in Cluster gruppieren. Wir haben fünf Cluster identifiziert: wakk, dashed, .id, .com-id und .com.id.
Verwendung der Muster
Nachdem wir diese Cluster identifiziert hatten, haben wir regex-Muster entworfen, um sie weiter zu analysieren. Hiermit können wir unsere Daten filtern und aggregierte Statistiken für die einzelnen Cluster erstellen. Wir verknüpfen außerdem WHOIS-Daten für die Domains innerhalb der Cluster (Tabelle 2).
Cluster |
Cluster- größe |
Beliebtheit |
Zuerst registriert |
Zuerst gesehen |
Zuletzt gesehen |
Beispiel-Subdomain |
Beispieldomain |
|---|---|---|---|---|---|---|---|
wakk |
1 |
10x |
14. Juni 2023 |
15. Juni 2023 |
Noch aktiv |
service10: |
wakkofkznmartyxa3244[.]site |
dashed |
> 10 |
1x |
16. Juli 2023 |
18. Juli 2023 |
3. September 2023 |
booking. |
reservation-accept[.]info |
.id |
> 10 |
1x |
17. August 2023 |
18. August 2023 |
Noch aktiv |
booking. |
id11853502[.]date |
.com-id |
> 10 |
1x |
6. September 2023 |
7. September 2023 |
Noch aktiv |
avito.sber. |
com-id02349[.]info |
.com.id |
> 10 |
1x |
6. September 2023 |
8. September 2023 |
Noch aktiv |
booking.com. |
id60157261[.]date |
Tabelle 2: Aggregierte Statistiken für FQDN-Cluster
Um Tabelle 2 zu verstehen, müssen wir die einzelnen Spalten definieren.
Clustergröße: Anzahl der Domainnamen, die innerhalb jedes Clusters angezeigt werden; jeder Cluster (mit Ausnahme von „wakk“) enthält Dutzende verschiedener Domainnamen, die alle ähnlich aussehen und demselben Muster folgen.
Beliebtheit: relative Anzahl von Abfragen, die in den einzelnen Clustern auftreten
Zuerst registriert: ältestes Registrierungsdatum aller Domains innerhalb des Clusters laut den WHOIS-Daten
Zuerst gesehen: Datum, an dem wir laut unseren internen DNS-Abfrageprotokollen die erste DNS-Abfrage für eine der Domains innerhalb des Clusters beobachtet haben; wir haben bemerkt, dass jede der Domains nur ein oder zwei Tage nach der ersten Registrierung auf unserem Radar auftauchte.
Zuletzt gesehen: Datum, an dem der Cluster zuletzt im DNS-Traffic aufgetaucht ist
Beispiel-Subdomain: Beispiel für eine Subdomain innerhalb des abgefragten Clusters
Beispieldomain: einzelner zufälliger Domainname aus dem Cluster
Das zeigen unsere Daten
Jede der Domains tauchte nur ein oder zwei Tage nach der ersten Registrierung auf unserem Radar auf. Der erste Cluster, den wir beobachtet haben, war „wakk“, der im Juni 2023 registriert wurde.
Die „wakk“-Domain verzeichnet die bei Weitem größte Anzahl von DNS-Abfragen – etwa 2,5 Mal mehr DNS-Abfragen als alle anderen vier Cluster zusammen. Dieser Kontrast könnte darauf hinweisen, dass dieser Cluster zur Weiterleitung oder als Hub verwendet wird.
Angesichts der Tatsache, dass diese Kampagne mehrere Ziele anvisiert – die erste ist das Hotel, die zweite dessen Gäste –, ist es äußerst beunruhigend, dass die vier anderen Cluster zum Zeitpunkt der Veröffentlichung dieses Blogbeitrags allesamt weiterhin aktiv sind (mit Ausnahme des Clusters „dashed“). Dieser Cluster weist die frühesten Registrierungsdaten auf, jedoch wurden seit 3. September 2023 keine Anfragen an ihn gesendet.
Schrittweise Ausmusterung des Clusters mit dem größten Risiko
Aus diesen Daten schließen wir, dass ursprünglich der Cluster „dashed“ verwendet wurde, aber sich die Angreifer dann entschieden, diesen Cluster auszumustern und mit den anderen drei Clustern fortzufahren. Die Tatsache, dass der Traffic zum Cluster „dashed“ am 3. September eingestellt wurde und die frühesten Domainnamen in den Clustern „.com-ID“ und „.com.ID“ am 6. September registriert wurden, unterstützt diese These. Der Cluster „dashed“ entsprach auch am ehesten der klassischen Aufmachung einer Betrugsdomain. Das hätte das Risiko steigern können, dass Threat Hunter oder andere sie als solche erkennen.
Doch auch wenn dieser Cluster inaktiv ist, gehen weiterhin Abfragen über die Cluster „.id“, „.com-id“ und „.com.id“ ein.
Der Cluster „dashed“ verwendet derzeit zwei oder drei mit Bindestrichen verbundene Wörter aus dem folgenden Wörterbuch und nutzt außerdem die Top-Level-Domains (TLDs) .com, .date, .info, .cloud und .site:
acceptacquire
approve
booking
check
confirm
confirmation
guest
process
request
reserve
reservation
safe
secure
transaction
Die drei anderen Cluster können grob mit den folgenden regex-Mustern erfasst werden, die auf die FQDNs angewendet werden. Jedoch sollten die Ergebnisse wahrscheinlich weiter nach einem IP-Adressbereich gefiltert werden.
- Cluster „.id“
.*\.id\d{4,9}\.(com|top|date|email|info|site|cloud)$ Cluster „.com-id“
.*\.com-id\d{4,9}\.(com|top|date|email|info|site|cloud)$- Cluster „.com.id“
.*\.com\.id\d{4,9}\.(com|top|date|email|info|site|cloud)$
Ausweitung auf andere IP-Adressen
Die vorstehende Analyse betraf insbesondere die FQDNs, die in 91.215.40[.]30 aufgelöst wurden. Es ist jedoch möglich (wenn auch nicht wahrscheinlich), dass diese Kampagne mehr IP-Adressen umfasst. Anhand der regex-Muster, die wir zur Erfassung der verschiedenen Cluster entwickelt haben, haben wir die Tabelle mit den FQDN-Rohdaten-Statistiken abgefragt, um festzustellen, ob auch andere IPs beteiligt sind.
Wir haben identische Cluster gefunden, die in 91.215.40[.]22 aufgelöst wurden, die Teil desselben ASN ist wie 91.215.40[.]30. Diese Analyse hat dazu geführt, dass diese IP-Adresse Teil der IOC-Liste in unserem ursprünglichen Beitrag ist.
Eine globale Bedrohung
Aus regionaler Sicht stammt die Mehrheit des DNS-Traffics aus der Schweiz, Hongkong und Kanada. Wir verzeichnen aber auch viele Anfragen in Italien, Argentinien und Singapur. Der globale Charakter dieser Phishing-Kampagne ist ein weiterer Beweis für die komplexe Infrastruktur, auf der diese Angriffe basieren. Außerdem wird hierdurch die Nachverfolgung dieser Kampagne erschwert, da sie nicht auf ein bestimmtes Land oder eine bestimmte Region ausgerichtet ist.
Es gibt zwar geografisch spezifischen DNS-Traffic, doch wir beobachten keine Ländercode-TLDs wie .ru. Wir haben nur allgemeine TLDs wie .com, .top, .date, .email, .info, .site und .cloud beobachtet.
Auf Subdomain-Ebene sehen wir, dass verschiedene Markennamen missbraucht werden. Manchmal ist die TLD der Marke:
die First-Level-Subdomain, wie in booking.com.id60157261[.]date
der Anfang des Domainnamens, wie in booking.com-id2435142[.]info
nicht vorhanden, wie in booking.id17825117[.]date
Wir können diese drei Methoden als Kombinationen von Levelsquatting- und Combosquatting-Techniken zusammenfassen.
Zusätzlich zu booking.com gibt es eine Reihe von Marken, die in Russland häufig anzutreffen sind, wie avito, sber, sberbank und yandex. Das ist interessant, denn die Verwendung dieser beliebten russischen Marken scheint nur sinnvoll zu sein, wenn die Kampagne auf russische Nutzer abzielt – doch vielleicht ist auch umgekehrte Psychologie im Spiel und die Cyberkriminellen wollen uns nur in die Irre führen.
WHOIS-Analyse
Sehen wir uns nun einige WHOIS-Daten für Domainnamen in den gefundenen Clustern an.
Wir haben festgestellt, dass die meisten Domains NameSilo als Registrierungsstelle nutzen. Der Kontakt, der am häufigsten in den WHOIS-Daten dieser Domains aufgeführt ist, ist PrivacyGuardian. PrivacyGuardian ist Teil von NameSilo. Es scheint, dass die Angreifer diese Domainnamen über NameSilo registriert und dann die PrivacyGuardian-Funktion verwendet haben, um ihre Identität zu verbergen.
Wir haben auch Domainnamen gefunden, die über andere Registrierungsstellen registriert wurden. Es überrascht nicht, dass die meisten WHOIS-Kontaktdaten leer sind oder zufällige Namen enthalten.
Darüber hinaus fanden wir in jedem Cluster mehrere Domainnamen, die DNS-Abfragen empfangen haben, aber (laut WHOIS-Daten) nie registriert wurden. Wir haben den Eindruck, dass die Malware, die auf den Geräten der Hotelmitarbeiter installiert wird, versucht, Command-and-Control-Adressen zu erreichen und gleichzeitig eine Vielzahl von Domains anzufragen, bis eine erfolgreiche Verbindung hergestellt ist.
Fazit
Durch die Verwendung von DNS- und WHOIS-Daten konnten wir umfassende Einblicke in eine derzeit aktive Phishing-Kampagne gewinnen. Die Kampagne scheint eine globale Reichweite zu haben und umfasst derzeit fünf verschiedene Cluster von Domainnamen, die über sieben TLDs verteilt sind. Wir haben Muster identifiziert, mit denen diese Cluster erfasst werden können. Anhand dieser Muster konnten wir bestätigen, dass diese Kampagne derzeit zwei IP-Adressen umfasst: 91.215.40[.]30 und 91.215.40[.]22.
Wir haben herausgefunden, dass unter den irreführenden Taktiken, die im Rahmen der Kampagne zum Einsatz kommen, auch Cybersquatting-Techniken wie Level- und Combosquatting zu finden sind. Darüber hinaus haben wir festgestellt, dass die Angreifer möglicherweise versuchen, es so aussehen zu lassen, als würden nur russische Nutzer angegriffen, indem sie in dieser Kampagne eine große Anzahl russischer Marken verwenden.
Wir halten Sie auf dem Laufenden
Wenn Sie in Echtzeit über die neuesten Sicherheitsstudien auf dem Laufenden gehalten werden möchten, folgen Sie uns auf Twitter.
