- DetourDogマルウェアキャンペーンがDNSリダイレクトを利用し、3万以上のウェブサイトを侵害
- 被害者は気付かぬうちに、モジュール型情報窃取マルウェア「Strela Stealer」をホストするサイトへリダイレクトされた
- DNSレベルの操作とインフラ悪用により、攻撃は数か月間発見されなかった
セキュリティ研究者たちは、3万以上のウェブサイトと無数の訪問者を密かに侵害した大規模なマルウェアキャンペーンを発見しました。
Infobloxの研究者は「DetourDog」と名付けたキャンペーンの詳細を明らかにしました。これは同名のマルウェアを使い、保護されていないサーバーを標的として、訪問者を強制的にリダイレクトさせるものでした。
DNSリクエストは訪問者ではなくウェブサイト自体から行われるため、被害者には見えませんでした。この仕組みにより、攻撃は数か月間も発見されずに済んだのです。
Strela Stealer
Infobloxの分析によると、攻撃者は侵害されたレジストラ、DNSプロバイダー、設定ミスのドメインを組み合わせてDetourDogを拡散していました。
被害者は正規(だが侵害された)ウェブサイトから、情報窃取マルウェア「Strela Stealer」をホストするサイトへリダイレクトされます。そこから、標準的なドライブバイ手法(ダウンロードの促しやブラウザの脆弱性悪用など)を使って、被害者の環境に応じてマルウェアが配布されました。
Strela Stealer自体は2022年末に初めて発見されました。当時はMicrosoft OutlookやThunderbirdからメール認証情報を抜き取るだけのものでした。
しかし、年々進化し、現在では複数の情報源やブラウザから認証情報を抜き取れるモジュール型情報窃取マルウェアとされています。展開されると、コマンド&コントロールサーバーと通信して盗んだデータを送信したり、アップデートを受信したりして、持続的な脅威となります。
このマルウェアの出自はまだ特定されていませんが、「strela」という言葉はロシア語や他の多くのスラブ語で「矢」を意味します(多少の違いあり)。
Infobloxは、影響を受けたすべてのドメイン所有者および関係当局に通知したと報告書で述べています。
被害者はインフラのクリーンアップに取り組んでいるようですが、被害の全容は依然として不明です。セキュリティ専門家は、組織に対してDNS設定の監査、異常なトラフィックパターンの監視、同様の脅威を検出・遮断するDNSセキュリティソリューションの導入を推奨しています。
