深度分析针对酒店业的网络钓鱼活动,揭示全球性威胁
编辑和评论补充:Tricia Howard
执行摘要
Akamai 研究人员在持续研究后发现,一起活跃而复杂的网络钓鱼活动正在对酒店网站及其客户发起攻击。
这起活动是一个全球性威胁,我们在瑞士、中国香港和加拿大等地都观察到大量的 DNS 流量,在意大利、阿根廷和新加坡也发现了大量的查询。
虽然该活动最初被认为是从 2023 年 9 月开始的,但域名注册显示,其域名的注册和查询活动实际上早在 2023 年 6 月就已经开始。
简介
经过多年的了解和探讨, 网络钓鱼 已经被企业和个人所熟悉,但它仍然是企业和个人面临的首要威胁。这些活动的惊人之处在于其不断发展的复杂性和激光般精准的目标锁定。我们在 假日赠品骗局、 加密货币赠品骗局以及 2023 年 9 月爆发的 针对酒店业的攻击活动 背后的 基础架构 中均发现了这些特征。
在初步探究了这类针对酒店业的攻击活动的第二层后,我们意识到需要对其进行更深入的研究。
对在线格局的独特见解
Akamai 观察到全球多个国家/地区的 DNS 查询流量激增。许多部署了 Akamai DNS 解析器的客户选择与我们共享匿名日志,以便我们能够利用这些日志进行威胁研究和分析,并采取措施保护最终用户。这种对在线格局的独特见解,为我们深入剖析这一网络钓鱼活动提供了稳固的根基。
在这篇博客文章中,我们将深入探讨与 IOC 相关的 DNS 查询、流量和全限定域名 (FQDN),并揭示它们是如何成为这一攻击活动的一部分的。
域名集群
为了进行更深入的数据分析,我们将从 Akamai 强大的内部 FQDN 统计表开始。该表详细列出了我们团队在 DNS 流量中观察到的每个 FQDN,并提供了有关 FQDN 的进一步背景信息(例如时间戳信息和其他元数据)。这使我们能够进行更深入、更准确的分析,以便深入研究特定行为,就像我们对这一攻击活动所做的那样。
寻找模式
我们从研究人员发现的第一个 IP 地址开始分析:91.215.40[.]30。我们发现,该 IP 地址隶属于 ASN AS57724,貌似来自于俄罗斯。
我们知道,该攻击活动从 2023 年 9 月初开始就一直处于活跃状态,所以我们首先从这个表中筛选出在过去几个月中被解析为 91.215.40[.]30 的 FQDN(表 1)。
FQDN |
集群 |
|---|---|
service10.wakkofkznmartyxa3244[.]site |
wakk |
booking.reservation-accept[.]info |
dashed |
booking.com-id2834440[.]info |
.com-id |
service10.wakkofkznmartyxa3244[.]site |
wakk |
booking.id17825117[.]date |
.id |
www.yandex.sberbank.com-id409712[.]com |
.com-id |
booking.id301628951[.]date |
.id |
booking.acquire-transaction[.]cloud |
dashed |
booking.com.id60157261[.]date |
.com.id |
static.wakkofkznmartyxa3244[.]site |
wakk |
booking.com-id2435142[.]info |
.com-id |
service10.wakkofkznmartyxa3244[.]site |
wakk |
booking.check-request[.]info |
dashed |
service10.wakkofkznmartyxa3244[.]site |
wakk |
pay.avito.avito.avito.com-id20341[.]info |
.com-id |
表1:解析为 91.215.40[.]30 的 FQDN 的示例
尽管这些 FQDN 中有一些采用了更为典型的 组合式域名仿冒 技术,例如添加关键字“reservation”,但也有一些对于人类来说毫无意义的字符串,例如“wakkofkznmartyxa3244”。
如表 1 所示,FQDN 中存在一些非常明显的视觉模式。我们可以基于组合式域名仿冒技术将 FQDN 分组到相应集群中,如果遇到难以理解的情况,可以基于 FQDN 的文本样本进行分组。我们确定了五种集群:wakk、dashed、.id、.com-id 和 .com.id。
利用这些模式
在确定这些集群后,我们就着手创建正则表达式模式,以便对这些集群进行更深入的分析。这使我们能够筛选数据并为每个集群生成综合统计信息。我们还把集群内部的域与 WHOIS 数据进行关联(如表 2 所示)。
集群。 |
集群大小。 |
广泛度 |
首次注册日期 |
首次发现日期 |
最后发现日期 |
子域名示例 |
域名示例 |
|---|---|---|---|---|---|---|---|
wakk |
1 |
10x |
2023-06-14 |
2023-06-15 |
仍在持续 |
service10. |
wakkofkznmartyxa3244[.]site |
dashed |
10+ |
1x |
2023-07-16 |
2023-07-18 |
2023-09-03 |
booking. |
reservation-accept[.]info |
.id |
10+ |
1x |
2023-08-17 |
2023-08-18 |
仍在持续 |
booking. |
id11853502[.]date |
.com-id |
10+ |
1x |
2023-09-06 |
2023-09-07 |
仍在持续 |
avito.sber. |
com-id02349[.]info |
.com.id |
10+ |
1x |
2023-09-06 |
2023-09-08 |
仍在持续 |
booking.com. |
id60157261[.]date |
表 2:FQDN 集群的综合统计数据
为了准确理解表 2,我们需要明确定义每列的含义。
集群大小:我们观察到每个集群中出现的域名数量;除“wakk”集群外,其他每个集群都包含几十个不同的域名,这些域名看起来很相似,且遵循相同的模式
广泛度:每个集群收到的相对查询次数
首次注册日期:根据 WHOIS 数据,集群内所有域名的最早注册日期。
首次发现日期:根据我们的内部 DNS 查询日志,我们观察到的针对集群中任何一个域名的首个 DNS 查询日期。 我们注意到,每个域名在首次注册后的 1 到 2 天内就会出现在我们的雷达上
最后发现日期:我们最后一次观察到该集群出现在 DNS 流量中的日期
子域名示例:集群中所查询的子域名的示例
域名示例:集群内的一个随机域名
数据的含义
每个域名在首次注册后的 1 到 2 天内就会出现在我们的雷达上。我们观察到的第一个集群是“wakk”,它是在 2023 年 6 月注册的。
迄今为止,我们注意到“wakk”域名收到的 DNS 查询量显著高于其他四个集群的总和, 大约是它们的 2.5 倍。如此明显的对比表明,“wakk”域被用于重定向或充当某种类型的中心。
考虑到该攻击活动涉及多个目标层(首先是酒店,其次是酒店的客人),令人担忧的是,除了“dashed”集群外, 其他四个集群 在本文发布之日仍然处于活跃状态。尽管该集群的注册日期是最早的,但是自 2023 年 9 月 3 日以来,我们没有再观察到任何指向该集群的查询了。
逐步淘汰风险最大的集群
根据这些数据,我们可以推断出最初使用的集群是“dashed”。然而,攻击者决定逐步淘汰该集群,并转而使用其他三个集群。“dashed”集群的流量于 9 月 3 日停止,而 .com-id 和 .com.id 集群中最早使用的域名则是在 9 月 6 日注册的,这一事实进一步证实了这种想法的可信度。“dashed”集群还使用最“传统”的诈骗域名构成,这可能会让威胁猎人或其他人员更难检测出来。
当该集群处于非活动状态时,查询请求继续通过 .id、.com-id 和 .com.id 集群流入。
“dashed”集群目前使用来自以下词典中的两到三个单词,这些单词通过一个破折号连接,并使用 TLD,例如 .com、.date、.info、.cloud 和 .site:
acceptacquire
approve
booking
check
confirm
confirmation
guest
process
request
reserve
reservation
safe
secure
transaction
在 FQDN 上应用以下正则表达式模式可以大致捕获其他三个集群,但您也可以通过 IP 地址范围进一步过滤结果。
- .id 集群
.*\.id\d{4,9}\.(com|top|date|email|info|site|cloud)$ .com-id 集群
.*\.com-id\d{4,9}\.(com|top|date|email|info|site|cloud)$- .com.id 集群
.*\.com\.id\d{4,9}\.(com|top|date|email|info|site|cloud)$
扩展到其他 IP 地址
上述分析专门针对解析为 91.215.40.[30] 的 FQDN。然而,该攻击活动有可能(如果不是非常可能的话)由更多 IP 地址组成。我们使用自己设计的正则表达式模式来捕获不同的集群,并查询原始 FQDN 统计信息来查找是否涉及任何其他 IP 地址。
我们发现解析为 91.215.40[.]22的集群与解析为 91.215.40[.]30的集群是相同的集群,它们都属于同一个 ASN。正是基于这个分析,我们在 之前那篇博文的 IOC 列表中列出了这个 IP 地址。
全球性威胁
从地域分布来看,我们发现大部分 DNS 流量来自于瑞士、中国香港和加拿大。 我们在意大利、阿根廷和新加坡也观察到了大量的查询。 这个网络钓鱼活动的全球性质再次凸显出实施这些骗局的基础架构非常复杂。这使得该活动更难以追踪,因为它不是针对特定的国家或地区。
虽然有针对特定地理位置的 DNS 流量,但我们尚未观察到任何国家代码顶级域名 (TLD),例如 .ru。我们只观察到一些通用的 TLD,例如 .com、.top、.date、.email、.info、.site 和 .cloud。
在子域名级别上,我们发现各种品牌名称被不当使用。有时,某品牌的 TLD 是:
第一级子域名,例如在 booking.com.id60157261[.]date 中
域名的开头,例如在 booking.com-id2435142[.]info 中
缺失,例如在 in booking.id17825117[.]date 中
这三种方法可以归纳为 域名级别仿冒 和 组合式域名仿冒 技术的结合。
除了 booking.com 之外,我们还发现了一些在俄罗斯十分常见的品牌,例如 avito、sber、sberbank 以及 yandex。有趣的是,使用这些常见的俄罗斯品牌似乎只有针对俄罗斯用户才有意义,除非某种反向心理在起作用,否则这种假象正是攻击者试图让我们相信的。
WHOIS 分析
让我们一起来分析一下与我们在集群中找到的域名相关联的一些 WHOIS 数据。
我们发现,大多数域名都使用 NameSilo 作为其 注册商。在这些域名的 WHOIS 数据中,最常见的 联系人 是 PrivacyGuardian。PrivacyGuardian 是 NameSilo 的一部分。似乎有恶意攻击者通过 NameSilo 注册了这些域名,并利用 PrivacyGuardian 功能来隐匿他们的真实身份。
此外,我们还发现了一些通过其他注册商注册的域名。其中,毫不意外的是,大多数 WHOIS 联系人详细信息要么是空白的,要么就只包含一些随机的名称。
此外,我们发现每个集群中有几个域名曾收到过 DNS 查询,但(根据 WHOIS 数据)这些域名 从未真正被注册。我们认为,安装在酒店员工设备上的恶意软件试图命令和控制这些地址,同时尝试连接各种域,直至成功建立连接。
结论
仅使用 DNS 和 WHOIS 数据就可以帮助我们全面了解当前活跃的网络钓鱼活动。该活动的影响似乎是全球性的,目前涉及五种不同的域名集群,分布在七个 TLD 中。我们已经确定了可以用来捕获这些集群的模式。通过这些模式,我们能够确认目前有两个 IP 地址参与了该活动。91.215.40[.]30 和 91.215.40[.]22。
我们注意到,该活动的一些欺骗性策略涉及使用域名抢注技术,包括域名级别伪造和组合式域名伪造。此外,我们发现,攻击者可能试图通过在该活动中使用大量俄罗斯品牌,来使攻击目标看起来像是只有俄罗斯用户。
关注最新动态
敬请关注我们的 Twitter,实时查看我们的最新安全研究。
