Après sa première publication sur les Sitting Ducks, Infoblox Threat Intel a approfondi ce sujet dans un nouveau rapport. Celui-ci révèle que plus d’un million de domaines enregistrés pourraient être vulnérables. Le rapport examine également comment cette méthode d’attaque est largement exploitée par de nombreux acteurs pour intensifier leurs campagnes malveillantes.

De nouvelles preuves ont été trouvées sur les attaques de type “Sitting Ducks”
Dans une attaque de type « Sitting Ducks », l’attaquant prend le contrôle complet d’un domaine en s’appropriant ses configurations DNS. Depuis 2018, les cybercriminels utilisent ce vecteur pour détourner des dizaines de milliers de noms de domaine. Parmi les victimes, on compte des marques connues, des organisations à but non lucratif et des entités gouvernementales. Suite à la publication d’un premier rapport sur les attaques de type “Sitting Ducks” en juillet 2024, Infoblox Threat Intel a lancé une initiative de surveillance. Les résultats sont alarmants : 800 000 domaines vulnérables ont été identifiés, dont environ 70 000 déjà détournés.

“Vipers” et “Hawks” se régalent des attaques de type “Sitting Ducks”

Vacant Viper
Vacant Viper est l’un des premiers acteurs identifiés exploitant les attaques de type « Sitting Ducks », avec environ 2 500 domaines détournés chaque année depuis décembre 2019. Cet acteur utilise les domaines compromis pour renforcer son système de distribution de trafic malveillant (TDS) appelé 404TDS, visant à lancer des campagnes de spam malveillant, diffuser des contenus pornographiques, établir des serveurs de commande et de contrôle (C2) pour des chevaux de Troie d’accès à distance (RAT) et déployer des logiciels malveillants comme DarkGate et AsyncRAT. Vacant Viper ne cible pas des marques spécifiques, mais cherche plutôt des domaines de haute réputation, susceptibles de contourner les filtres de sécurité. Le nouveau rapport publié fournit des exemples de chaînes d’attaque détaillant les techniques de redirection utilisées par 404TDS et ses affiliés, notamment l’usage de domaines détournés par Vacant Viper dans le cadre de 404TDS.

Vextrio Viper
Depuis le début de l’année 2020, cet acteur utilise des domaines détournés dans le cadre de sa vaste infrastructure TDS. Vextrio dirige le plus grand programme d’affiliation cybercriminel connu, redirigeant le trafic web compromis vers plus de 65 partenaires affiliés, dont certains détournent également des domaines via des attaques « Sitting Ducks » pour leurs propres opérations malveillantes. Beaucoup de ces affiliés se servent d’un service antibot russe pour échapper aux bots et aux chercheurs en sécurité. Ce service, AntiBot, permet de configurer des règles bloquant certains services ou utilisateurs en fonction de leur géolocalisation IP, de leur agent utilisateur, et autres critères.

Horrid Hawk et Hasty Hawk, de nouveaux acteurs
Le nom « Hawks » a été choisi car les acteurs de la menace s’infiltrent dans les domaines vulnérables et les détournent, tels des faucons fondant sur leur proie. Infoblox a identifié plusieurs nouveaux acteurs qui exploitent ce modèle de détournement pour en tirer profit.
• Horrid Hawk : Un acteur malveillant spécialisé dans le détournement de domaines DNS pour des fraudes à l’investissement, actif depuis au moins février 2023. Ce groupe se distingue par l’usage de domaines détournés à chaque étape de ses campagnes, en créant des appâts attrayants sous forme de programmes d’investissement fictifs ou de sommets gouvernementaux inexistants. Ils intègrent ces domaines détournés dans des publicités éphémères sur Facebook, ciblant des utilisateurs en plus de 30 langues à travers plusieurs continents.
• Hasty Hawk : Un autre acteur de menace identifié lors de l’analyse des détournements « Sitting Ducks ». Depuis au moins mars 2022, Hasty Hawk a compromis plus de 200 domaines pour orchestrer des campagnes de phishing à grande échelle, souvent en usurpant des pages de suivi DHL ou en créant de faux sites de dons pour l’Ukraine. Cet acteur utilise divers fournisseurs et reconfigure fréquemment les domaines détournés pour héberger du contenu sur des IP russes. Il recourt à des publicités Google et à des messages de spam pour propager ses contenus malveillants. Hasty Hawk utilise également un TDS pour diriger les utilisateurs vers des pages adaptées en fonction de leur géolocalisation et d’autres caractéristiques, et alterne ses domaines entre plusieurs thèmes de campagne.