С января 2025 года несколько доменов были замечены в сканировании с использованием методов DNS-туннелирования.
Описание
- Эти домены использовались при сканировании DNS-резольверов, размещенных на публичных адресах IPv4 и IPv6.
- IP-адрес источника подделывается под соседний IP-адрес назначения, чтобы обойти контроль доступа на основе IP-адреса источника.
- Владелец домена использует IP-адреса 209.141.56[.]200 и 2605:6400:20:9d:2d8c:6f33:f4db[:]ab02 для размещения своих серверов имен.
- FQDN кодирует IP-адрес назначения в виде шестнадцатеричной строки в доменном имени.
- Например, в FQDN kugmx.c66e76fb.0.v4.isavscan[.]baby, c66e76fb соответствует IPv4-адресу 198.110.118[.]251.
- Атакующие могут получить информацию об уязвимости конкретного резолвера, расшифровав полученное FQDN от контролируемого ими сервера имен.
- Если эта деятельность осуществляется в исследовательских целях, то отсутствие TXT/PTR-записей или веб-сайтов, объясняющих суть исследования, вызывает серьезные этические сомнения.
- Техника сканирования в этой кампании аналогична кампании SecShow.
- В отличие от предыдущей активности, в дополнение к IPv4, атакующие теперь также сканируют резолверы на IPv6-адресах.
Индикаторы компрометации
IPv4
- 209.141.56.200
IPv6
- 2605:6400:20:9d:2d8c:6f33:f4db:ab02
Domains
- isavscan.autos
- isavscan.baby
- isavscan.beauty
- isavscan.biz
- isavscan.boats
- isavscan.bond
- isavscan.cfd
- isavscan.christmas
- isavscan.click
- isavscan.college
- kugmx.c66e76fb.0.v4.isavscan.baby
- oeikdidmgx.online
- owkky.c8030120000007210000000025000000.0.v6.isavscan.biz
