【安全圈】8800个域名被滥用，以使数百万封电子邮件通过垃圾邮件过滤器

在线安全公司Guardio周一报道，数以千计的域名，其中许多曾经由大公司拥有，已被滥用，以使数百万封电子邮件通过垃圾邮件过滤器。

这家网络安全公司的研究人员遇到了一项重大活动，他们将其称为 SubdoMailing，并将其归因于一个名为 ResurrecAds 的威胁行为者。

Guardio 报告说，他们发现了大约 8,800 个被劫持的域名——特别是超过 13,000 个相关的子域名——每天用于发送大约 500 万封电子邮件。被滥用的域名数量每天都在以数百个的速度增长。

该公司已经确定了以前属于 MSN、CBS News、New York City、Philips、Cornell University、VMware、Swatch、Scotiabank 和 McAfee 的滥用域名。

至少从 2022 年底开始，ResurrecAds 一直在寻找被遗忘已久的子域，这些子域具有关联的 DNS 记录，例如 CNAME（另一个域的别名）或 SPF（列出所有有权从域发送电子邮件以防止欺骗的服务器）。

威胁参与者可以注册域，然后滥用它和现有的 DNS 记录来发送电子邮件，与常规垃圾邮件活动相比，这些电子邮件更有可能通过垃圾邮件过滤器。

作为 SubdoMailing 活动的一部分发送的电子邮件旨在诱骗用户与邮件进行交互，这会引导他们通过一系列重定向来检查设备类型和位置，最终将受害者引导至诈骗或网络钓鱼网站。

Guardio 描述的一个具体例子涉及子域“marthastewart.msn.com”，二十多年前Microsoft用于玛莎·斯图尔特 （Martha Stewart） 抽奖活动。

ResurrecAds 似乎正在运营一个“广告网络”，其目标是为其客户产生尽可能多的点击。

“这个[威胁行为者]似乎正在系统地扫描互联网以查找易受攻击的域，识别机会，购买域，保护主机和IP地址，然后精心策划正在进行的电子邮件传播活动，”瓜迪奥说。“这涉及一个由被劫持和故意获取的域名和知识产权资产组成的庞大网络，这表明在维持这种广泛的业务规模方面具有很高的组织和技术复杂性。”

这家网络安全公司发布了一个在线工具，可用于检查域名是否在 SubdoMailers 活动中遭到入侵和滥用。

“该行业对受信任的域名有一种错误的安全感，因为它们从来都不是完全安全的。在 SlashNext，我们看到数以万计的恶意子域隐藏在受信任的域中。目前，我们的威胁提要中有 149,345 个实时网络钓鱼威胁 URL，这些 URL 位于合法、受信任的域上，“反网络钓鱼公司 SlashNext 的首席执行官 Patrick Harr 告诉 SecurityWeek。

“虽然拥有DMARC、DKIM和SPF很重要，但它不会检测到这些威胁。在您的安全堆栈中拥有计算机视觉等人工智能技术至关重要，这些技术可以超越域声誉来检测隐藏在合法站点上的这些威胁，“Harr 补充道。