脅威アクターは、共有コンテンツ配信ネットワーク(CDN)インフラストラクチャの脆弱性を悪用して、悪意のあるドメインへの接続を隠しています。
「Underminr」と呼ばれるこの問題は、ドメインフロンティングの亜種であり、脅威アクターがHTTPSリクエストのSNIおよびTLS証明書検証フィールドに許可されたドメインを配置し、TLSトンネルの暗号化されたHTTPホストヘッダーに異なるターゲットドメインを埋め込むことを可能にする、現在軽減されているタイプの攻撃です。
CDNはホストヘッダーに基づいてリクエストを内部的にルーティングしたため、リクエストは隠されたターゲットに到達しましたが、トラフィックは評判の良いフロントドメインに向かうように見えました。
フロントドメインを使用する代わりに、UnderminrはドメインのsnIおよびHTTPホストを表示しながら、同じ共有エッジ上の別のテナントのIPアドレスへのリクエストを強制します。
ADAMnetworksによると、このミスマッチは、ドメインフロンティングに対する軽減策を実装しているものを含む、大規模なホスティングプロバイダーを対象とした攻撃で悪用されています。
「この悪用により、信頼されたドメインに向かうように見える接続が、悪意のある目的に使用される可能性のある別のドメインに実際に接続することを許可します」とウェブセキュリティ企業は説明しています。
脅威アクターはUnderminrを悪用してコマンドアンドコントロール(C&C)サーバーへの接続を隠し、VPNおよびプロキシ接続を隠し、ネットワーク流出ポリシーを回避することができます。
「単純な形式では、DNS決定、エッジIP、SNI、ホストヘッダー、およびCDNテナントルーティングが関連付けられていない場合に検出ギャップが現れます。エンドポイントは許可されたDNS参照を見ますが、接続は異なるホストされた名前に対して完了できます」とADAMnetworksは述べています。
同社によると、この攻撃技術は、許可されたドメインと共有されるCDNインフラストラクチャでホストされるドメインに接続する攻撃で悪用されており、主にポート443上のTCP接続を介して、SNIが意図されたTLSホスト名を公開しています。
Underminr脆弱性は、DNS照会監視およびフィルタリングサービス保護DNS(PDNS)を回避するために4つの異なる戦略を使用して悪用される可能性があります。
実際のシナリオでは、攻撃者は悪意のあるアプリケーションとシェルスクリプトを使用して攻撃を開始できます。この脆弱性はClickFix攻撃でも悪用される可能性があるとADAMnetworksは述べています。
Underminrによって潜在的に影響を受ける約8,800万のドメインがあり、米国、英国、カナダのインターネットインフラストラクチャが最も影響を受けています。脅威アクターのAIへの依存の増加は、攻撃の急増につながると予想されています。
「Underminrがai生成マルウェアのパラメトリック情報になると、攻撃チェーンの一部として保護DNSを回避する必要があるすべての攻撃で、それを見ることを期待できます」とADAMnetworks CEOのDavid Redekopは述べています。
