DNS атака з використанням маршрутизаторів D-Link

Останні три місяці кіберзлочинці проводять фішінгові DNS-атаки на користувачів сайтів Netflix, PayPal, Uber, Gmail через вразливі маршрутизатори.

DNS атака - це тип зловмисної атаки, який використовується для перенаправлення користувачів на зловмисні веб-сайти через скомпрометовані маршрутизатори які підміняють параметри легітимного сервера.

Хакери, які зловживають хостами в мережі Google Cloud Platform для того щоб провести спроби експлуатації маршрутизаторів користувачів. У цьому випадку дослідники ідентифікували зловмисні DNS-сервера, що використовувались для перенаправлення веб-трафіку для фішингових атак. Дана кампанія була розділена на три етапи: у першій хвилі зловмисники переважно орієнтувалися на використання декількох моделей DSL-модемів D-Link:

• D-Link DSL-2640B
• D-Link DSL-2740R
• D-Link DSL-2780B
• D-Link DSL-526B

Перша спроба атаки відбулась 29 грудня 2018 року.

 

В даному випадку "IP-адреса шахрайського DNS-сервера, що використовувалась в тій атаці, була 66.70.173.48 і розміщеною на OVH Canada".

У другій хвилі, яка відбулась 6 лютого 2019 року, зловмисники використовували нові хости з AS15169, які в свою чергу були призначені клієнтам Google Cloud.

Третя хвиля відбулась 26 березня і походить від трьох різних хостів Google Cloud Platform, наразі зловмисники, орієнтовані на деякі моделі маршрутизаторів, включаючи:

маршрутизатори ARG-W4 ADSL
маршрутизатори DSLink 260E
маршрутизатори Secutech
маршрутизатори TOTOLINK

Скільки цільових пристроїв є вразливими?

Існує більше 10 000 користувачів чиї маршрутизатори мають вразливість:
D-Link DSL-2640B - 14,327
D-Link DSL-2740R - 379
D-Link DSL-2780B - 0
D-Link DSL-526B - 7
ARG-W4 маршрутизатори ADSL - 0
маршрутизатори DSLink 260E - 7
маршрутизатори Secutech - 17
маршрутизатори TOTOLINK - 2,265

Зловмисники виконували сканування Masscan для перевірки активних хостів на порт 81 / tcp, перш ніж спробувати провести атаку на DNS.

Індикатори кіберзагроз:Exploit Attempt Source IPs

35.190.238.77
35.221.201.149
35.229.230.36
35.221.98.121
35.235.106.76
35.240.128.42
35.190.195.236

Rogue DNS Servers

66.70.173.48
144.217.191.145
195.128.126.165
195.128.124.131

Exploit Attempts

/boafrm/formbasetcpipsetup?dnsmode=dnsmanual&dns1=195.128.126.165&dns2=195.128.124.131&dns3=195.128.124.131&dnsrefresh=1
/dnscfg.cgi?dnsPrimary=195.128.126.165&dnsSecondary=195.128.124.131&dnsDynamic=0&dnsRefresh=1
/form2dns.cgi?dnsmode=1&dns1=195.128.126.165&dns2=195.128.124.131&dns3=&submit.htm?dns.htm=send&save=apply
/wan_dns.asp?go=wan_dns.asp&reboottag=&dsen=1&dnsen=on&ds1=195.128.126.165&ds2=195.128.124.131
/dnscfg.cgi?dnsPrimary=144.217.191.145&dnsSecondary=144.217.191.145&dnsDynamic=0&dnsRefresh=1
/dnscfg.cgi?dnsPrimary=66.70.173.48&dnsSecondary=66.70.173.48&dnsDynamic=0&dnsRefresh=1
Джерело: Bad Packets Report