Die von Infoblox dokumentierte Kampagne setzt auf das Reverse-DNS für IPv6, das Adressen normalerweise über PTR-Einträge wieder auf Hostnamen abbildet. Die Angreifer fanden jedoch heraus, dass einige DNS-Verwaltungsplattformen nach der Übernahme einer DNS-Zone für einen IPv6-Bereich auch andere Eintragstypen zulassen, die sich für Phishing missbrauchen lassen.
“Wir haben beobachtet, dass Bedrohungsakteure Hurricane Electric und Cloudflare missbrauchen, um diese Einträge zu erstellen – beide genießen einen guten Ruf, den die Akteure ausnutzen –, und wir haben bestätigt, dass auch einige andere DNS-Anbieter solche Konfigurationen zulassen”, erklärt Infoblox. Die Tests seien nicht vollständig gewesen, man habe die Anbieter aber dort benachrichtigt, wo eine Lücke gefunden wurde.
Für den Aufbau der Infrastruktur beschaffen sich die Angreifer zunächst einen Block von IPv6-Adressen über IPv6-Tunneling-Dienste. Nach der Kontrolle über den Adressraum erzeugen sie aus dem IPv6-Bereich Reverse-DNS-Hostnamen mit zufällig generierten Subdomains, die schwer zu erkennen oder zu blockieren sind. Statt der erwarteten PTR-Einträge legen sie A-Einträge an, die auf die Phishing-Server zeigen.
Die Phishing-Mails locken mit Gewinnversprechen, Belohnungen für Umfragen oder angeblichen Kontobenachrichtigungen. Die Köder sind als Bilder eingebettet, die mit einem IPv6-Reverse-DNS-Eintrag wie “d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa” verknüpft sind, sodass das Ziel keinen auffälligen arpa-Hostnamen zu sehen bekommt.
Klickt ein Opfer auf das Bild, löst das Gerät die vom Angreifer kontrollierten Reverse-DNS-Nameserver über einen DNS-Anbieter auf. In einigen Fällen lagen die autoritativen Nameserver bei Cloudflare, und die Reverse-DNS-Domains verwiesen auf Cloudflare-IP-Adressen, was den Standort der eigentlichen Phishing-Infrastruktur verbarg.
Im Anschluss werden die Opfer über ein Traffic Distribution System (TDS) geleitet, das anhand von Kriterien wie Gerätetyp, IP-Adresse und Web-Referer prüft, ob es sich um ein lohnendes Ziel handelt. Wer die Prüfung besteht, landet auf der Phishing-Seite, alle anderen werden auf eine legitime Webseite umgeleitet.
Laut Infoblox sind die Phishing-Links kurzlebig und nur wenige Tage aktiv; danach führen sie zu Domain-Fehlern oder anderen legitimen Seiten. Die Forscher vermuten, dass dies die Analyse durch Sicherheitsforscher erschweren soll. Zusätzlich erschwert die Reservierung der .arpa-Domain für Infrastrukturzwecke die Erkennung, da übliche Merkmale registrierter Domains fehlen.
Darüber hinaus beobachteten die Forscher weitere Techniken, etwa das Kapern verwaister CNAME-Einträge und das sogenannte Subdomain-Shadowing, mit denen Phishing-Inhalte über Subdomains legitimer Organisationen ausgespielt werden. “Wir haben über 100 Fälle gefunden, in denen der Bedrohungsakteur gekaperte CNAME-Einträge bekannter Regierungsbehörden, Universitäten, Telekommunikationsunternehmen, Medienorganisationen und Einzelhändler nutzte”, so Infoblox.
