Une analyse approfondie de la campagne d'hameçonnage dans le secteur de l'hôtellerie révèle une menace mondiale
Commentaires éditoriaux et additionnels de Tricia Howard
Synthèse
Les chercheurs d'Akamai ne cessent d'analyser une campagne d'hameçonnage sophistiquée et active ciblant les sites hôteliers et leurs clients.
La campagne est une menace mondiale, avec une quantité notable de trafic DNS observé en Suisse, à Hong Kong et au Canada. Nous avons également constaté de nombreuses requêtes en Italie, en Argentine et à Singapour.
Bien que la campagne ait été initialement considérée comme active seulement depuis septembre 2023, l'enregistrement de domaine montre que les noms de domaine ont été enregistrés et interrogés dès juin 2023.
Introduction
Malgré des années de sensibilisation et de discussion, hameçonnage reste la principale cybermenace pour les organisations et les individus. La complexité exponentielle et le ciblage ultra-précis qui peuvent définir ces campagnes sont stupéfiants. Nous avons nous-mêmes constaté ces caractéristiques dans l'infrastructure par rapport à une escroquerie de cadeaux de vacances, aux arnaques aux cryptomonnaies, et à une campagne spécifique à l'hôtellerie qui ont été découvertes en septembre 2023.
Après notre analyse initiale du deuxième niveau de cette campagne hôtelière, il est devenu évident que nous devions approfondir nos recherches.
Notre vision unique du paysage en ligne
Akamai constate un trafic de requêtes système de noms de domaine à très grande échelle dans un grand nombre de pays à travers le monde. Nombre de nos clients qui déploient des résolveurs DNS d'Akamai choisissent de partager des journaux anonymisés avec nous, que nous pouvons ensuite utiliser pour effectuer des recherches et des analyses sur les menaces et prendre des mesures pour protéger les utilisateurs finaux. Cette vision unique du paysage en ligne nous donne les bases d'une compréhension plus approfondie de cette campagne d'hameçonnage.
Dans cet article de blog, nous allons approfondir cette analyse et examiner les requêtes DNS, le trafic et les noms de domaine pleinement qualifiés (FQDN) associés aux indicateurs d'infection (IOC) découverts comme faisant partie de la campagne.
Clusters de noms de domaine
L'analyse approfondie des données commence par notre solide table de statistiques FQDN interne, qui répertorie chaque FQDN observé dans le trafic DNS par notre équipe. Ce tableau fournit également un contexte supplémentaire sur les FQDN, tels que les informations d'horodatage et d'autres métadonnées. Cela permet une analyse plus approfondie et plus précise lorsque nous explorons un sujet spécifique, comme nous l'avons fait pour cette campagne.
Recherche de modèles
Nous commençons notre analyse avec la première adresse IP que nos spécialistes des recherches sur les menaces ont découvert : 91.215.40[.]30. Nous pouvons voir qu'elle appartient à ASN AS57724, qui semble être d'origine russe.
Comme nous savons que la campagne est active depuis au moins début septembre 2023, nous filtrons d'abord ce tableau pour les FQDN résolus en 91.215.40[.]30 au cours des derniers mois (tableau 1).
FQDN |
Cluster |
|---|---|
service10.wakkofkznmartyxa3244[.]site |
wakk |
booking.reservation-accept[.]info |
dashed |
booking.com-id2834440[.]info |
.com-id |
service10.wakkofkznmartyxa3244[.]site |
wakk |
booking.id17825117[.]date |
.id |
www.yandex.sberbank.com-id409712[.]com |
.com-id |
booking.id301628951[.]date |
.id |
booking.acquire-transaction[.]cloud |
dashed |
booking.com.id60157261[.]date |
.com.id |
static.wakkofkznmartyxa3244[.]site |
wakk |
booking.com-id2435142[.]info |
.com-id |
service10.wakkofkznmartyxa3244[.]site |
wakk |
booking.check-request[.]info |
dashed |
service10.wakkofkznmartyxa3244[.]site |
wakk |
pay.avito.avito.avito.com-id20341[.]info |
.com-id |
Tableau. 1 : Échantillon de FQDN résolus en 91.215.40[.]30
Bien que certains de ces FQDN suivent des techniques de combosquatting plus classiques, comme l'ajout du mot-clé « réservation », il y en a aussi qui n'ont aucun sens pour un humain, comme « wakkofkznmartyxa3244 ».
Comme vous pouvez le voir dans le tableau 1, il existe des modèles visuels assez clairs dans les FQDN. Nous pouvons regrouper les FQDN en clusters basés sur la technique de combosquatting ou, dans le cas des clusters inintelligibles, en fonction d'un échantillon du texte du FQDN. Nous avons identifié cinq clusters : wakk, dashed, .id, .com-id et .com.id.
Utilisation des modèles
Une fois que nous avons identifié ces clusters, nous avons ensuite conçu des modèles d'expression régulière pour les analyser plus en détail. Cela nous a permis de filtrer nos données et de produire des statistiques agrégées pour chacun des clusters. Nous joignons également les données WHOIS pour les domaines au sein des clusters (Tableau 2).
Cluster. |
Taille du cluster. |
Popularité |
Première inscription |
Première apparition |
Dernière apparition |
Exemple de sous-domaine |
Exemple de domaine |
|---|---|---|---|---|---|---|---|
wakk |
1 |
10x |
14/06/2023 |
15/06/2023 |
toujours en cours |
service10. |
wakkofkznmartyxa3244[.]site |
dashed |
10+ |
1x |
16/07/2023 |
18/07/2023 |
03/09/2023 |
booking. |
reservation-accept[.]info |
.id |
10+ |
1x |
17/08/2023 |
18/08/2023 |
toujours en cours |
booking. |
id11853502[.]date |
.com-id |
10+ |
1x |
06/09/2023 |
07/09/2023 |
toujours en cours |
avito.sber. |
com-id02349[.]info |
.com.id |
10+ |
1x |
06/09/2023 |
08/09/2023 |
toujours en cours |
booking.com. |
id60157261[.]date |
Tableau 2 : Statistiques agrégées pour les clusters FQDN
Pour comprendre le tableau 2, nous devons définir chaque colonne.
Taille du cluster : le nombre de noms de domaine que nous voyons dans chaque cluster ; chaque cluster (sauf le cluster « wakk ») contient des dizaines de noms de domaine différents qui se ressemblent tous et suivent le même modèle
Popularité : le nombre relatif de requêtes que chacun de ces clusters voit
Première inscription : la date d'enregistrement la plus ancienne de tous les domaines du cluster selon les données WHOIS
Première apparition : la date à laquelle nous avons observé la première requête DNS sur l'un des domaines du cluster selon nos journaux de requêtes DNS internes ; Nous avons remarqué que chacun des domaines est apparu sur notre radar seulement 1 ou 2 jours après leur premier enregistrement
Dernière apparition : la date à laquelle nous avons vu le cluster apparaître pour la dernière fois dans le trafic DNS
Exemple de sous-domaine : Exemple de sous-domaine au sein du cluster interrogé
Exemple de domaine : un nom de domaine aléatoire unique à partir du cluster
Ce que les données nous apprennent
Chacun des domaines est apparu sur notre radar seulement 1 ou 2 jours après leur premier enregistrement. Le premier que nous avons observé était le cluster « wakk », qui a été enregistré en juin 2023.
Le domaine « wakk » est de loin celui qui reçoit le plus grand nombre de requêtes DNS, environ 2,5 fois plus de requêtes DNS que les quatre autres clusters combinés. Cette différence peut indiquer qu'il est utilisé pour la redirection ou comme un hub quelconque.
Étant donné que cette campagne comporte plusieurs couches cibles (la première étant l'hôtel, la seconde étant les clients dudit hôtel), il est inquiétant de voir que les quatre autres clusters sont toujours actifs à la date de publication de cet article de blog, à l'exception du cluster « dashed ». Ce cluster particulier avait les dates d'enregistrement les plus anciennes, mais nous avons cessé de voir des requêtes vers ce cluster le 3 septembre 2023.
Suppression progressive du cluster qui crée le plus de risques
Ces données nous permettent de déduire qu'à l'origine, le cluster « dashed » était utilisé, mais que l'auteur de la menace a ensuite décidé de supprimer progressivement ce cluster et de continuer avec les trois autres clusters. Le fait que le trafic vers le cluster « dashed » se soit interrompu le 3 septembre et que les premiers noms de domaine dans les clusters .com-ID et .com.ID ont été enregistrés le 6 septembre ajoute de la crédibilité à cette idée. Le cluster « dashed » présentait également la composition de domaine d'escroquerie la plus « traditionnelle », ce qui aurait pu augmenter le risque de détection par les détecteurs de menaces ou autres.
Tant que le cluster est inactif, les requêtes continuent d'arriver via les clusters .id, .com-id et .com.id.
Le cluster « dashed » utilise actuellement deux ou trois mots du dictionnaire suivant reliés par un tiret, et utilise les domaines de niveau supérieur (TLD) .com, .date, .info, .cloud et .site :
acceptacquire
approve
booking
check
confirm
confirmation
guest
process
request
reserve
reservation
safe
sécurisé
transaction
Les trois autres clusters peuvent être capturés grossièrement avec les modèles d'expression régulière appliqués aux noms de domaines pleinement qualifiés, bien que vous souhaitiez probablement filtrer davantage les résultats par plage d'adresses IP.
- cluster .id
.*\.id\d{4,9}\.(com|top|date|email|info|site|cloud)$ cluster .com-id
.*\.com-id\d{4,9}\.(com|top|date|email|info|site|cloud)$- cluster .com.id
.*\.com\.id\d{4,9}\.(com|top|date|email|info|site|cloud)$
Extension à d'autres adresses IP
L'analyse ci-dessus portait spécifiquement sur les FQDN résolus en 91.215.40[.]30. Cependant, il est possible (sinon probable) qu'il y ait plus d'adresses IP composant cette campagne. En utilisant les modèles d'expression régulière que nous avons conçus pour capturer les différents clusters, nous avons interrogé la table de statistiques brutes des noms de domaines pleinement qualifiés pour identifier d'autres adresses IP impliquées éventuelles.
Nous avons trouvé des clusters identiques résolvant vers 91.215.40[.]22, qui fait partie du même ASN que 91.215.40[.]30. C'est cette analyse qui a conduit à ce que cette adresse IP fasse partie de la liste des indicateurs d'infection (IOC) dans notre article original.
Une menace mondiale
D'un point de vue régional, nous constatons que la majorité du trafic DNS provient de la Suisse, de Hong Kong et du Canada. Nous observons également beaucoup de requêtes en Italie, en Argentine et à Singapour. La dimension mondiale de cette campagne d'hameçonnage est une autre démonstration de l'infrastructure élaborée qui compose ces escroqueries. Cela rend également cette campagne plus difficile à suivre car elle ne cible pas un pays ou une région spécifique.
Bien qu'il existe un trafic DNS géographiquement spécifique, nous n'observons pas de domaines de niveau supérieur (TLD) de code pays, tels que .ru. Nous n'avons observé que les domaines de niveau supérieur génériques, tels que .com, .top, .date, .email, .info, .site et .cloud.
Au niveau des sous-domaines, nous constatons que divers noms de marque sont utilisés de manière inappropriée. Parfois, le TLD de la marque correspond :
au sous-domaine de premier niveau, comme dans booking.com.id60157261[.]date
au début du nom de domaine, comme dans booking.com-id2435142[.]info
manquant, comme dans booking.id17825117[.]date
Nous pouvons résumer ces trois méthodes comme des combinaisons de techniques de levelsquatting et combosquatting .
En plus de booking.com, nous voyons un certain nombre de marques qui sont fréquemment observées en Russie, telles que avito, sber, sberbank et yandex. C'est intéressant parce que l'utilisation de ces marques russes courantes ne semble avoir de sens que si la campagne cible les utilisateurs russes, à moins que la psychologie ne soit inversée, et que cette supercherie soit exactement ce que les auteurs de la menace veulent nous faire croire.
Analyse WHOIS
Examinons quelques données WHOIS pour les noms de domaine à l'intérieur des clusters que nous avons trouvés.
Nous avons constaté que la majorité des domaines ont NameSilo comme registre. Le contact le plus courant répertorié dans les données WHOIS de ces domaines est PrivacyGuardian. PrivacyGuardian fait partie de NameSilo. Les acteurs malveillants semblent avoir enregistré ces noms de domaine via NameSilo, puis avoir utilisé la fonctionnalité PrivacyGuardian pour garder leur identité cachée.
Nous avons également trouvé des noms de domaine enregistrés auprès d'autres registres. Parmi ceux-ci, sans surprise, la plupart des coordonnées WHOIS sont vides ou comprennent des noms aléatoires.
En outre, nous avons trouvé plusieurs noms de domaine à l'intérieur de chaque cluster qui ont reçu des requêtes DNS mais (selon les données WHOIS) n'ont jamais été enregistrés. Selon nous, les logiciels malveillants installés sur les terminaux des employés de l'hôtel tentent d'atteindre les adresses de commande et de contrôle et simultanément d'atteindre une variété de domaines jusqu'à ce qu'une connexion réussie soit établie.
Conclusion
En utilisant uniquement les données DNS et WHOIS, nous avons obtenu des informations de haut niveau sur une campagne d'hameçonnage actuellement active. La campagne semble avoir une portée mondiale et implique actuellement cinq clusters différents de noms de domaine répartis sur sept TLD. Nous avons identifié des modèles qui peuvent être utilisés pour détecter ces clusters. Grâce à ces modèles, nous avons pu confirmer qu'il existe actuellement deux adresses IP impliquées dans cette campagne : 91.215.40[.]30 et 91.215.40[.]22.
Nous avons remarqué que certaines des tactiques trompeuses de la campagne impliquent l'utilisation de techniques de cybersquatting, comme le levelsquatting et le combosquatting. En outre, nous avons découvert que les auteurs de la menace tentent peut-être de faire croire que seuls les utilisateurs russes sont ciblés en utilisant un grand nombre de marques russes dans cette campagne.
Restez à l'écoute
Vous pouvez retrouver nos dernières sur la sécurité sur Twitter.
