威胁行为者通常发现针对某些组织的攻击难度过大,因此他们需要通过我们可以称之为后门的渠道——供应商、厂商或服务提供商。聚合供应链攻击可能属于这一类,因为使用易受攻击的内容分发网络(CDN)服务版本的用户最终因恶意JavaScript代码而导致网络受损。
聚合(Polyfill)是一段JavaScript代码,使旧版浏览器能够实现它们原生不支持的现代功能。关于此次攻击的报告显示,肇事者获取了流行的聚合开源项目,并通过将恶意脚本注入其中来感染代码。下载了受损聚合的用户,主要在移动设备上,随后被重定向到诈骗网站。
许多网络安全研究人员对该攻击进行了调查,并识别出了一些入侵指示器(IoCs)。WhoisXML API研究团队获取了一个包含六个被识别为IoC的域名的列表,并对其进行了更深入的检查,以识别其他可能相关的工件。我们的IoC列表扩展导致发现:
- 六个IP地址,其中两个被证实为恶意
- 104个与IP连接的域名
- 94个与字符串连接的域名
从我们的分析中获得的附加工件样本可在网站上下载。https://main.whoisxmlapi.com/threat-reports/tracking-the-dns-footprint-of-the-polyfill-supply-chain-attackers?mc=circleid
关于聚合攻击的IoCs
为了更好地理解聚合攻击的基础设施,我们更深入地查看了被识别为IoCs的六个域名,首先进行了批量WHOIS查询,结果显示:
- 六个域名中只有四个有当前的WHOIS记录。
- GoDaddy.com LLC是注册商中的领头羊,占据了两个域名IoC。DNSPod, Inc.和Namecheap, Inc.各占一个域名IoC
- 由于这些IoCs是在2012年至2024年间创建的,威胁行为者使用了一种新注册和老域名混合的策略。
- 美国是主要的注册国家,占据了两个域名IoC。中国和冰岛各占一个域名IoC。
聚合攻击的DNS痕迹
如果说网络攻击有什么共同之处,那就是肇事者总会留下痕迹。我们通过对2024年2月聚合供应链攻击的IoC扩展分析,试图找到这样的痕迹。
我们首先在WHOIS历史API上查询了四个域名IoC,这显示在它们的历史WHOIS记录(https://whois-history.whoisxmlapi.com/api?mc=circleid)中存在四个电子邮件地址(经过重复项过滤后)。两个电子邮件地址被隐去,而另两个则是公开的。
对这两个公开电子邮件地址的反向WHOIS API查询显示(https://reverse-whois.whoisxmlapi.com/api?mc=circleid),只有一个出现在其他域名的当前WHOIS记录中。然而,由于该公开电子邮件地址出现在超过10,000个域名的记录中,它可能属于某个域名所有者。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
