Triad Nexus詐欺シンジケートによって使用されるFUNNULL関連のインフラストラクチャが大規模に再出現し、研究者たちは現在、インフラストラクチャをマネーロンダリングし、テイクダウンを継続的に回避するために設計された175以上の回転CNAMEドメインを追跡しています。
ネットワークの復帰は、制裁後の圧力がインターネット上で最も利益の高い「豚飼育」および仮想通貨詐欺エコシステムの1つを低下させたが、完全には解体していないことを示唆しています。
Silent Push研究者は、報告された損失の2億ドル以上をTriad Nexusに帰しており、1件あたりの平均被害者損失は約15万ドルで、その投資および暗号詐欺ファネルの高い転換性を強調しています。米国による2025年のFUNNULLに対する財務省制裁およびFBI/IC3警告にもかかわらず、
グループは静かに広範な詐欺エンジンを再構築し、新興市場に焦点を当てながら、西側の消費者および企業に打撃を与える能力を保持しています。
制裁以来、最も重要な技術的変化は、Triad Nexusが少数の安定したFUNNULL CNAMEから、175以上のランダムに生成されたCNAMEドメインの大規模で急速に回転するプールへの移行です。
「funnull」、「fn」、または「fc」を参照する簡単に指紋認証可能なホスト名の代わりに、グループは現在、kanejwo[.]comおよびcdn899[.]com、smaooe[.]com、およびddge[.]ruのような不透明なラベルを好み、クライアント詐欺ドメインのクラスターをマネーロンダリングされたIP空間に接続しています。CTG Server、Amazon、Cloudflare、Microsoft、およびその他のプロバイダー全体。
Silent Pushによって観察された典型的な悪意のあるチェーンは、現在マルチホップパターンに従っています。使い捨てクライアントドメインは最初の仲介CNAME記録を指し、次に2番目を指し、最終的にはAS152194内で危険にさらされたまたは詐欺的に取得されたクラウドIP上でホストされているAレコードに解決されます。
Silent Pushによると、標準的な反応的なテクニック(シングルホップDNSルックアップ、静的IPまたはドメインブロックリスト、およびケースバイケースのテイクダウン)は、この自動化されたインフラストラクチャアズコードモデルのペースに追いつくことができません。
これに対応して、同社は、ディフェンダーが既知のCNAMEを送信し、それに関連するチェーン、クライアントドメイン、およびマッピングされたIPの完全なセットを時間をかけて取得できるようにする専用CNAME Chain Lookup機能をリリースしました。
次のリンクだけでなく、CNAME パス全体を公開することにより、このツールはセキュリティチームがTriad Nexusクラスターを再構築し、CDNおよびASN全体のローテーションを追跡し、新しい詐欺サイトが完全にライブになる前に先制的な中断を調整するのに役立つように設計されています。
セキュリティチームは、類似ドメイン、疑わしいCDNまたはASNで終了するCNAMEチェーン、およびグループによって現在好まれている地域からの説明のないトラフィック急増を監視し、信頼できる脅威インテリジェンスパートナーとインジケーターを共有してグローバル検出カバレッジを向上させるよう促されています。
翻訳元: https://cyberpress.org/triad-nexus-returns-globally/