Detour Dogは、脅威アクターにつけられた名称です。
この脅威アクターはDNS(ドメインネームシステム)を悪用する内容を展開しています。
どういった活動なのでしょうか。
- 目立たないように活動する
多くの脅威アクターは、到達できるすべての被害者候補をすべて対象にして活動しようとします。
しかし、Detour Dogの戦略は異なるようです。
マルウェア攻撃はDNSクエリを利用して、ウェブサイト訪問者の所在地とデバイスに基づいて標的を絞り込みます。
その間、サーバは訪問者データを暗号化した秘密のDNS TXTリクエストを送信します。
攻撃者がリモート制御するネームサーバは、多くの場合目に見える痕跡を残さずに、どのユーザを詐欺サイトにリダイレクトするか、またはリモートダウンロードと実行の指示を受け取るかを決定します。
標的を選んで活動するのです。 - 木を森に隠す
Detour Dogの管理するネームサーバは多くのリクエストを処理します。
その数実に1時間あたり200万件に達します。
この大量の処理の約90%は無害な応答処理となっています。
そして、その残り部分がアクセス者を被害者へと向かわせる応答を返す動作を行います。
大量の通常処理に混ぜ込まれた脅威を判定することは、解析の困難さを上昇させます。 - 他の脅威アクターにも提供する
Detour Dogの攻撃インフラはDetour Dogだけが利用しているわけではなさそうです。
Hive0145などの脅威アクターもDetour Dogのサービスを利用した脅威活動を展開していることが確認されています。
Detour Dogは以前から活動が確認されている脅威アクターでしたが、当初はそのターゲットは一般の家庭ユーザではありませんでした。
しかし、動作の傾向が変化し、現時点では家庭ユーザも対象となっています。
企業などの組織の一員としてこの脅威に対して注意が必要ですが、一個人としても注意が必要な脅威だといえます。
新しい脅威の情報を継続的に知り、それらへの対策を考えられる状態を維持していきたいですね。
Detour Dog: DNS Malware Powers Strela Stealer Campaigns
https://blogs.infoblox.com/threat-intelligence/detour-dog-dns-malware-powers-strela-stealer-campaigns/
| この記事をシェア |
|
|---|
