Исследователи Cyble Research & Intelligence Labs (CRIL) обнаружили масштабную кампанию, в ходе которой злоумышленники используют заброшенные делегирования DNS-зон в облаке Azure для размещения тайского азартного контента. Атака затронула 163 организации из более чем 30 стран. Среди жертв - федеральные государственные структуры, национальные системы здравоохранения, финансовые институты, операторы критической инфраструктуры и крупные университеты. На момент публикации отчёта 161 организация остаётся скомпрометированной.
Описание
Основной механизм атаки - захват зон Azure DNS. Когда предприятия выводят из эксплуатации облачную инфраструктуру, NS-записи (записи, указывающие на серверы имён для поддомена) в родительской зоне DNS часто остаются нетронутыми. Злоумышленник находит такие брошенные делегирования, регистрирует осиротевшую зону в своей подписке Azure и добавляет wildcard-запись (запись со звёздочкой, охватывающую все поддомены). Затем через контролируемую зону он проходит проверку ACME HTTP-01 и получает валидный TLS-сертификат Let's Encrypt (центр сертификации, выдающий бесплатные сертификаты). В результате любой поддомен атакованной организации начинает отображать страницу с тайскими азартными играми, сохраняя при этом доверие к оригинальному домену.
Исследователи начали расследование с аномалии на поддомене cardsforheroes.verizon.com. Там оказалось более тысячи поддоменов с названиями, содержащими тайские символы. Все они вели на один IP-адрес в OVH SAS (AS16276) и показывали приложение на Next.js с партнёрскими ссылками. Дальнейший анализ по методу перекрёстной привязки пассивных данных DNS и цифровых отпечатков страниц выявил ещё 162 скомпрометированные организации.
Всего подтверждены четыре механизма компрометации. Первый - захват зоны Azure DNS - затронул более 150 организаций. Второй - захват зон на платформе DigitalOcean - выявлен у двух организаций: мебельного ритейлера из США и индийского университета. Третий механизм - прямая wildcard-ошибка в собственных серверах имён организации - обнаружен у энергетической компании и платёжного сервиса. Четвёртый - массовое создание отдельных A-записей для каждого поддомена - наблюдался у Verizon: более 1000 уникальных записей, что указывает на автоматизированный скрипт с доступом к управлению DNS.
Атака не направлена на кражу данных или установку вредоносного ПО. Это коммерческая партнёрская программа по привлечению тайских пользователей на сайты азартных игр. Каждый редирект содержит партнёрский код (например, ibiza99vip1 или link99). При регистрации через такой код злоумышленник получает комиссию. На стороне бэкенда работает серверная проверка географического положения: посетителям не из Таиланда редирект не выдаётся, что снижает риск обнаружения.
Технический анализ показал, что доставка контента осуществляется через три узла OVH, а вся прикладная логика - на выделенной инфраструктуре в Гонконге. Исследователи обнаружили 103 сервера в семи подсетях сети 38.173.0.0/16, принадлежащей провайдеру PEG TECH INC (AS398478). Все 103 узла используют один и тот же TLS-сертификат для broker-xm[.]com, одинаковые отпечатки HTTP-тела и JARM-слепки (цифровые отпечатки TLS-рукопожатия). Это однозначно указывает на одного оператора кампании.
Сам азартный набор - полностью отрисованная страница на Next.js с тайской локализацией, валидным сертификатом и структурированными данными для поисковых систем. Минимальный депозит составляет 1 тайский бат (около 0,03 доллара США). Такая низкая планка убирает барьер для регистрации. Страница оптимизирована под мобильные устройства и индексацию в Google.
Кампания не вызывает срабатываний стандартных средств защиты: TLS-сертификаты валидны, IP-адреса не числятся в списках угроз, а домены имеют безупречную репутацию. Обнаружить атаку можно только на уровне DNS. Самый надёжный индикатор - неожиданное появление wildcard-сертификата Let's Encrypt на поддомене компании, который ранее использовал корпоративный центр сертификации. Рекомендуется регулярно проверять все NS-записи в родительских зонах и убеждаться, что соответствующие зоны в облаке существуют и управляются вашей организацией.
Для устранения угрозы необходимо немедленно удалить NS-делегирование из родительской зоны на захваченный поддомен. Это обрывает цепочку атаки независимо от того, что злоумышленник создал в своей зоне. Также следует уведомить Microsoft Security Response Center (msrc@microsoft.com) для принудительного удаления зоны. Запрос отзыва сертификатов Let's Encrypt через crt.sh тоже поможет снизить видимость атаки.
Каждая заброшенная NS-запись, указывающая на облачного провайдера, - это потенциальная дверь для подобной компрометации. Разрыв между выводом из эксплуатации проекта и активным захватом зоны может составлять годы. В данном случае для некоторых организаций он достигал шести с половиной лет. Аудит DNS-зоны - единственный способ предотвратить превращение забытой инфраструктуры в скрытую рекламную площадку под вашим доменным именем.
Индикаторы компрометации
IPv4
- 139.99.82.106
- 38.127.8.49
- 51.79.199.51
CIDRs
- 38.173.235.0/24
- 38.173.236.0/24
- 38.173.239.0/24
- 38.173.30.0/24
- 38.173.37.0/24
- 38.173.56.0/24
- 38.173.57.0/24
Domains
- 99997778.com
- appbox.55u4g5g4k2.com
- appbox.7y6texmeyy.com
- appbox.devh5api27.xyz
- bevictor.com
- big888.store
- broker-xm.com
- bt.default.com
- ibiza99.autos
- link99.nova555.rest
- pub-a4952b46ff9c4f6b8d5529cd21f9a1e3.r2.dev
- seven77.click
JARM fingerprint
- 07d14d16d21d21d07c42d43d000000270a013a3e21e28897e76e8fe13e2f7d
MD5
- 7df3d7cf3358af3f470ac7229387ef94
SHA1
- d9799ca2f08af6992dc80c49f9889fef40ed27c7