执行摘要
DNS 威胁行为者总是让我们感到惊讶。每天,我们都会了解到他们为剥削受害者而设计的富有创意的新活动。投资诈骗就是其中之一。美国联邦贸易委员会报告称,2023 年美国投资诈骗造成的损失比任何其他类型的诈骗都多,受害者被盗的金额总计超过 46 亿美元。 Savvy Seahorse 是 DNS 威胁行为者,他说服受害者在虚假投资平台上创建账户,向个人账户存款,然后将这些存款转移到俄罗斯的银行。该攻击者利用 Facebook 广告来引诱用户进入他们的网站,并最终加入虚假投资平台。活动主题通常涉及欺骗特斯拉、Facebook/Meta 和帝国石油等知名公司。
Savvy Seahorse 的活动非常复杂。它们涉及先进技术,例如结合虚假的 ChatGPT 和 WhatsApp 机器人,为用户提供自动响应,敦促他们输入个人信息,以换取所谓的高回报投资机会。众所周知,这些活动针对的是俄语、波兰语、意大利语、德语、捷克语、土耳其语、法语、西班牙语和英语使用者,同时专门保护乌克兰和其他一些国家的潜在受害者。
Savvy Seahorse 以一种隐晦的方式滥用域名系统 (DNS):他们利用 DNS 规范名称 (CNAME) 记录为复杂的金融诈骗活动创建流量分配系统 (TDS)。因此,Savvy Seahorse 可以控制谁有权访问内容,并可以动态更新恶意活动的 IP 地址。这种使用 CNAME 的技术使威胁行为者能够逃避安全行业的检测;据我们所知,这是第一份重点关注使用 CNAME 作为出于恶意目的而设计的 TDS 的报告。
在本文中,我们介绍了 CNAME TDS 的概念,并讨论了 Savvy Seahorse 如何使用 CNAME 记录进行大规模诈骗活动,这些活动迄今为止一直在安全行业的雷达下“游走”。主要发现是:
Savvy Seahorse 通过 Facebook 广告开展活动。
它们至少自 2021 年 8 月起就开始运营。
他们使用专用托管并定期更改 IP 地址。
单独的活动是短暂的(每个子域的广告时间为 5 到 10 天)。
他们似乎使用分阶段部署系统,其中活动域的 CNAME 记录将根据其当前是否处于活动状态而更改。
他们利用通配符 DNS 条目,这使他们能够快速创建大量独立的活动,但可能会给被动 DNS (pDNS) 分析带来混乱。
受害者的个人数据被发送到基于 HTTP 的辅助 TDS 服务器以验证信息并应用地理围栏以排除乌克兰和其他少数国家/地区。
第二个基于 HTTP 的 TDS 还随着时间的推移跟踪用户 IP 和电子邮件地址。
Savvy Seahorse 自 2021 年 8 月以来一直在运营。尽管参与的域有时会被安全工具标记,但其背后更大的基础设施和参与者并未被安全行业发现。我们观察到大约 4.2k 个基本域,其 CNAME 记录列出了 b36cname[.]site 的子域。为了举办活动,Savvy Seahorse 使用域名生成算法 (DGA) 为每个 SLD 创建多个子域名,其中主机名是伪随机的,在大多数情况下为三个字符长。
图 1:Savvy Seahorse 运营概览
Savvy Seahorse 使用每个网页中嵌入的注册表来收集受害者的名字和姓氏、电子邮件地址和电话号码。图 2 显示了该注册表的两个示例,一个是波兰语,另一个是英语。
图 2:Savvy Seahorse 活动中使用的注册表
验证用户信息后,将被重定向至平台。参与者跟踪用户,防止爬虫和安全供应商重新访问。下面的视频提供了虚假交易平台的演练。
在 Infoblox,我们仍然致力于寻找威胁行为者滥用 DNS 来隐藏其犯罪活动的新方法。Savvy Seahorse 使用 DNS CNAME 作为 TDS 来管理其恶意操作的技术表明,DNS 是跟踪和破坏网络犯罪分子活动的最有效方法。我们对 CNAME 模式的分析最终使我们能够发现该攻击者及其用于运营其大型诈骗活动网络的独特策略、技术和程序 (TTP)。
活动指标
以下是 Savvy Seahorse 活动中使用的指标示例。指标也可以在我们的 GitHub 存储库中找到。
Indicator | Type of Indicator |
getyourapi[.]site | Savvy Seahorse secondary TDS domain |
land-nutra[.]b36cname[.]site | Subdomain used as CNAME record for parked domains |
land[.]b36cname[.]site | Subdomains used as CNAME records for inactive campaigns |
prx[.]b36cname[.]site | Subdomains used as CNAME records for active campaigns |
new[.]xsdelx[.]top | Subdomains for active Savvy Seahorse campaigns |
bwn[.]objectop[.]xyz | |
sej[.]progmedisd[.]site | |
adin[.]czproftes[.]xyz | |
visa[.]lukzev[.]xyz | |
sun[.]autotrdes[.]top | |
hmz[.]coivalop[.]xyz | |
news[.]beneffit[.]top | |
goiin[.]baltez-offic[.]xyz | |
ultra-vest[.]one | Fake trading websites the user is redirected to in some campaigns |
kingsman-adv[.]org | |
abyss-world-asset[.]net | |
sci[.]pointpayment[.]net | Payment processing domains to collect victim’s financial information |
makeyourpay[.]com | |
qiwi[.]bppsa[.]com | |
ymoney[.]bppsa[.]com | |
processing[.]betatransfer[.]io | |
crypto-payer[.]co | |
ap-gateway[.]mastercard[.]com | Legitimate domain for Mastercard used collect victim’sfinancial information |
checkout[.]flutterwave[.]com | Legitimate domain for Flutterwave, a Nigerian payment service used to collect victim’s financial information |
auproject[.]xyz | Savvy Seahorse base domains |
badanie-pl[.]site | |
blog-vcnews[.]site | |
capital-inwest[.]site | |
dasms[.]xyz | |
duums[.]xyz | |
esbopehan[.]xyz | |
futtes[.]site | |
gernik[.]site | |
groovetonprogramz[.]xyz | |
lintant[.]top | |
mipinves[.]site | |
mixx-today[.]site | |
newprogrms[.]xyz | |
oksitepl[.]site | |
onlinedietslimm[.]xyz | |
prostprogr[.]xyz | |
rslimess[.]xyz | |
satin1[.]xyz | |
sunproflts[.]site |
参考链接: https://blogs.infoblox.com/cyber-threat-intelligence/beware-the-shallow-waters-savvy-seahorse-lures-victims-to-fake-investment-platforms-through-facebook-ads/
图片来源网络目标可联系删除