Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Новая угроза: киберкампания с использованием typo DGA

1
2 мин
Недавние исследования в области кибербезопасности выявили новую угрозу: киберкампания, использующая недавно зарегистрированные домены (NRD) и инновационный алгоритм генерации доменов (DGA), известный как typo DGA. Эта методология нацелена на обход механизмов обнаружения и активное распространение вредоносного контента. Кампания была раскрыта с помощью аналитического конвейера, использующего графический анализ для сопоставления данных о регистрации доменов с различной инфраструктурой: NRD активно перенаправляют пользователей на целевые страницы, где размещается реклама потенциально нежелательных приложений для Android. Впечатляюще, что 96% проанализированных файлов, связанных с указанным IP-адресом (91.195.240.123), были классифицированы как вредоносные. Это подчеркивает серьезность данной проблемы. Все NRD были перенаправлены на вышеупомянутый IP, что указывает на централизованный вредоносный хостинг, способствующий распространению опасного контента. Дальнейший анализ с использованием
Оглавление
Источник: unit42.paloaltonetworks.com
Источник: unit42.paloaltonetworks.com

Недавние исследования в области кибербезопасности выявили новую угрозу: киберкампания, использующая недавно зарегистрированные домены (NRD) и инновационный алгоритм генерации доменов (DGA), известный как typo DGA. Эта методология нацелена на обход механизмов обнаружения и активное распространение вредоносного контента.

Методология и технологии

Кампания была раскрыта с помощью аналитического конвейера, использующего графический анализ для сопоставления данных о регистрации доменов с различной инфраструктурой:

  • Хостинг-инфраструктура
  • Пассивные DNS-записи
  • Информация WHOIS

Угроза от NRD

NRD активно перенаправляют пользователей на целевые страницы, где размещается реклама потенциально нежелательных приложений для Android. Впечатляюще, что 96% проанализированных файлов, связанных с указанным IP-адресом (91.195.240.123), были классифицированы как вредоносные. Это подчеркивает серьезность данной проблемы.

Все NRD были перенаправлены на вышеупомянутый IP, что указывает на централизованный вредоносный хостинг, способствующий распространению опасного контента.

Обширная сеть угроз

Дальнейший анализ с использованием intelligence pipeline позволил выявить 444 898 доменов, обладающих схожими характеристиками. Поразительно, что 99,98% (или 444 827 доменов) были связаны с одним и тем же вредоносным IP-адресом. Данная сильная корреляция указывает на существуют более обширной сети опасных действий, не все из которых напрямую связаны с конкретной кампанией.

Необходимость новых мер реагирования

Выявленные опечатки DGA создают новую проблему для кибербезопасности, требующую расширенных возможностей обнаружения. Современные стратегии защиты, включающие:

  • Расширенная фильтрация URL-адресов
  • UUID-проверки связаны с вредоносными доменами и URL-адресами

Требуются для эффективного выявления угроз, связанных с этой кампанией.

Система реагирования

Постоянный мониторинг и разрушение вредоносной инфраструктуры, помеченной как typodga_redir, являются важнейшими мерами реагирования. Результаты анализа были представлены членам хакерского альянса (CTA), что подтверждает совместные усилия по быстрому внедрению защитных мер и систематическому пресечению действий злоумышленников.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Новая угроза: киберкампания с использованием typo DGA".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Гаджеты и электроника
5,73 млн интересуются