Dutch IT Chanel Logo mobile
Search icon
Wouter Hoeffnagel - 16 november 2024

Ondanks risico's: 'Te weinig aandacht voor Sitting Duck-aanvallen op domeinen'

Meer dan een miljoen domeinen zijn kwetsbaar voor zogeheten 'Sitting Duck'-aanvallen. Kwaadwillenden kapen hierbij domeinen via DNS-configuraties. Deze vorm van cybercriminaliteit is onderbelicht in de cybersecuritygemeenschap, ondanks de aanzienlijke risico’s die het met zich meebrengt.

Security Data protection
Ondanks risico's: 'Te weinig aandacht voor Sitting Duck-aanvallen op domeinen' image

Hiervoor waarschuwt cloudnetworking- en securityspecialist Infoblox. Uit een rapport van onderzoeksdivisie Infoblox Threat Intelligence blijkt dat maar weinig securityonderzoekers bekend zijn met deze aanvalsmethode. Sinds de eerste publicatie van Infoblox over Sitting Ducks in juli 2024, zijn er diepgaande analyses uitgevoerd die de grootschalige impact van deze aanvallen blootleggen. Inmiddels zijn 800.000 kwetsbare domeinen geïdentificeerd, waarvan er ongeveer 70.000 daadwerkelijk zijn gekaapt.

Wat zijn Sitting Ducks-aanvallen?

Bij een Sitting Ducks-aanval neemt een kwaadwillende actor volledige controle over een domein door kwetsbaarheden in de DNS-configuratie uit te buiten. Deze aanvalsmethode wordt al sinds 2018 gebruikt en heeft tienduizenden domeinen getroffen, waaronder bekende merken, non-profits en overheidsinstanties.

Cybercriminelen gebruiken gekaapte domeinen voor uiteenlopende doeleinden, zoals spamcampagnes, phishing, het verspreiden van malware en frauduleuze investeringscampagnes. Het rapport benadrukt de dringende noodzaak om deze vector beter te begrijpen en te monitoren.

Belangrijke actoren: Vipers en Hawks

Het rapport beschrijft vier belangrijke actoren die Sitting Ducks-aanvallen gebruiken:

Bekende actoren: De Vipers

Vacant Viper

  • Actief sinds: Eind 2019.
  • Domeinen gekaapt: Ongeveer 2.500 per jaar.
  • Werkwijze: Vacant Viper gebruikt gekaapte domeinen om hun Russische traffic distribution system (TDS), genaamd 404TDS, te versterken. Dit systeem wordt ingezet voor spamcampagnes, het hosten van remote access trojans (RAT) zoals AsyncRAT, en het verspreiden van malware zoals DarkGate.
  • Doelwit: Domeinen met een goede reputatie die niet snel worden geblokkeerd door beveiligingssystemen. Het rapport bevat voorbeelden van hoe Vacant Viper deze domeinen en 404TDS gebruikt, inclusief geavanceerde omleidingstechnieken.

Vextrio Viper

  • Actief sinds: Begin 2020.
  • Werkwijze: Beheert een van de grootste cybercriminele affiliateprogramma’s. Gebruikt gekaapte domeinen om verkeer naar meer dan 65 affiliatepartners te leiden.
  • Technieken: Werkt met een Russische antibot-dienst om beveiligingsonderzoekers en specifieke gebruikers te weren. Deze dienst blokkeert bots op basis van IP-geolocatie, user-agent, en andere kenmerken.
  • Schade: Affiliates kapen vaak zelf domeinen om hun criminele activiteiten uit te breiden.

Nieuwe actoren: De Hawks

Twee nieuw ontdekte actoren gebruiken Sitting Ducks-aanvallen op een opportunistische manier. Ze zijn vernoemd naar haviken vanwege hun scherpe focus op kwetsbare domeinen:

Horrid Hawk

  • Actief sinds: Februari 2023.
  • Doelwit: Investeringsfraude.
  • Werkwijze: Horrid Hawk gebruikt uitsluitend gekaapte domeinen in alle fasen van hun campagnes. Via deze domeinen promoten ze niet-bestaande overheidsfondsen of nepconferenties, ondersteund door Facebook-campagnes in meer dan 30 talen.

Hasty Hawk

  • Actief sinds: Maart 2022.
  • Doelwit: Phishing-campagnes, zoals imitatiepagina’s van DHL en frauduleuze inzamelingsacties voor Oekraïne.
  • Werkwijze: Kapen en herconfigureren van domeinen om content te hosten op Russische IP’s. Schadelijke inhoud wordt verspreid via Google-advertenties en spamberichten, waarbij gebruikers met een TDS naar op maat gemaakte content worden geleid, afhankelijk van geolocatie en andere gegevens.
  • Opvallend: Hasty Hawk wisselt continu van thema’s en domeinen, waardoor detectie wordt bemoeilijkt.

Groeiend risico

Infoblox waarschuwt dat Sitting Ducks-aanvallen een groeiend risico vormen voor organisaties wereldwijd. Het rapport benadrukt dat meer dan 1 miljoen domeinen dagelijks kwetsbaar zijn, en dat kwaadwillenden steeds geraffineerdere methoden gebruiken om deze vector te exploiteren.

De nieuwe inzichten van Infoblox Threat Intelligence onderstrepen de noodzaak voor bedrijven en overheden om hun DNS-beveiliging te versterken en zich te wapenen tegen deze onderbelichte, maar wijdverspreide dreiging. Het volledige onderzoeksrapport is hier beschikbaar. Ook deelt Infoblox meer informatie in een blog. Meer informatie over Sitting Duck-aanvallen is hier te vinden. 

Lenovo Channel Campagne vierkant Sophos 14/11/2024 t/m 28/11/2024 BN + BW

Dutch IT events

Event icon

Event

Dutch IT Channel Awards 2024

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events
Lenovo Channel Campagne liggend

Over Wouter Hoeffnagel

Wouter Hoeffnagel

Wouter Hoeffnagel is Manager Online content bij Dutch IT Media

Hij is expert op het gebied van ICT en schrijft hierover al jaren in de vorm van nieuwsberichten en inzichtelijke artikelen.

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!