Vault Viper ist ein hochentwickelter Bedrohungsakteur mit Verbindungen zum organisierten Verbrechen in Südostasien. Es verwendet einen speziell angefertigten Browser, um illegales Online-Glücksspiel, Datenexfiltration und Geldwäsche zu ermöglichen. Seine riesige DNS-Infrastruktur unterstützt globalen Betrug.

Warum ist das etwas Besonderes? Es ist unser erster Bericht über einen benutzerdefinierten Browser, der mit der DNS-Infrastruktur gekoppelt ist, um Cyberkriminalität und Bedrohungen zu verbreiten.

Detour Dog ist ein bösartiger Adtech-Affiliate, der DNS-TXT-Einträge verwendet, um Opfer von Zehntausenden kompromittierter Websites bedingt umzuleiten oder um entfernte Inhalte zur Ausführung abzurufen. Detour Dog ist ein Partner von Help TDS, Los Pollos und Monetizer und arbeitet mit Hive0145 zusammen, um die Strela Stealer-Malware zu verbreiten.

Warum ist das etwas Besonderes? Detour Dog verbindet TDSs und Malware-C2 und betreibt ein Relais-System, das Bedrohungen dynamisch über DNS weiterleitet – eine seltene und unauffällige Technik.

Vane Viper ist ein bösartiges Adtech-Ökosystem, das um die in Zypern ansässige, russische Nexus AdTech Holdings und deren Tochtergesellschaften aufgebaut ist. Sie missbrauchen Push-Benachrichtigungen für die Persistenz und betreiben ein TDS, um den Datenverkehr auf verschiedene bösartige Inhalte zu lenken.

Warum ist das etwas Besonderes? Diese Untersuchung bildet die Personen und Organisationen ab, die das umfangreiche TDS- und Affiliate-Netzwerk bilden, zu dem auch PropellerAds gehört.

Hazy Hawk ist ein DNS-affiner Bedrohungsakteur, der verwaiste DNS-CNAME-Einträge kapert, die auf ungenutzte Cloud-Ressourcen großer nationaler Organisationen verweisen. Der Akteur hostet Betrugs- und Malware-URLs unter diesen vertrauenswürdigen Subdomains und nutzt TDSs und Push-Benachrichtigungen, um seine Opfer anzusprechen.

Warum ist das etwas Besonderes? Das ist die erste Meldung über einen Akteur, der verwaiste CNAMES in ungenutzten Cloud-Ressourcen kapert.

Reckless Rabbit ist ein raffinierter Betrüger, der Anzeigen in sozialen Medien, gefälschte Prominentenempfehlungen und lokalisierte (sprachliche) Landing Pages einsetzt, um Opfer in einen Anlagebetrug zu locken.

Es verwendet RDGAs, Wildcard-DNS und TDS-basiertes Cloaking, um der Erkennung zu entgehen, schnell zu skalieren und Ziele basierend auf Standort oder Gerät umzuleiten, was eine effektive Verfolgung oder Blockierung erschwert.

Ruthless Rabbit, aktiv seit Ende 2022, ist ein DNS-gesteuerter Anlagebetrug, der auf Osteuropa abzielt.

Es verwendet Registered Domain Generation Algorithms (RDGAs), um Tausende von Betrugsdomains vorab zu registrieren, Wildcard-DNS und Cloaking-Dienste, um Bots herauszufiltern und validierte Nutzer zu gefälschten „Profitplattformen“ zu leiten.

Morphing Meerkat betreibt eine Phishing-as-a-Service (PhaaS)-Plattform. Dieser Akteur verwendet DNS-MX-Einträge, um den E-Mail-Dienstanbieter des Opfers zu identifizieren und dynamisch gefälschte Anmeldeseiten bereitzustellen. Morphing Meerkat nutzt kompromittierte WordPress-Websites sowie offene Weiterleitungsschwachstellen auf Adtech-Servern aus.

Hasty Hawk kapert Domains mit einer mangelhaften Nameserver-Delegierung, deren autoritative DNS-Anbieter ausgenutzt werden können, und verwendet sie dann für Phishing-Kampagnen.

Warum ist das etwas Besonderes? Der Akteur kapert schwache Domains durch „Sitting Ducks“-Angriffe und hat Phishing-Kampagnen durchgeführt, die DHL-Seiten und gefälschte Spendenseiten imitieren.

Ein finanziell motivierter Bedrohungsakteur hat seit mindestens Februar 2023 Tausende von Domains für Anlagebetrugspläne gekapert. Diese gekaperten Domains sind in kurzlebige Facebook-Anzeigen eingebettet, die auf Nutzer in mehr als 30 Sprachen auf mehreren Kontinenten abzielen.

Warum ist das etwas Besonderes? Die gekaperten Domains werden mit dem Angriffsvektor „Sitting Ducks“ übernommen und in jedem Schritt der Kampagnen der Akteure eingesetzt.

Ein chinesisches Verbrechersyndikat hat eine Technologiesuite entwickelt, die es nun als eine vollständige Cybercrime-Lieferkette betreibt, komplett mit Software, DNS-Konfigurationen, Website-Hosting, Zahlungsmechanismen, mobilen Apps und mehr.

Warum ist das etwas Besonderes? Diese Recherche bringt zahlreiche Geschichten von Journalisten und Menschenrechtsaktivisten mit einem einzigen Netzwerk für organisiertes Verbrechen in Verbindung.

Ein gerissener Akteur, der weltweit offene Resolver mit MX-Einträgen missbraucht und Chinas Great Firewall auf mysteriöse Weise zum Handeln bringt.

Warum ist das etwas Besonderes? Erste Dokumentation geänderter DNS-MX-Einträge durch die Great Firewall.

Ein hartnäckiger Investmentbetrugsakteur, der DNS-CNAME-Einträge als Traffic Distribution System (TDS) nutzt, um den Zugriff auf ihre bösartigen Inhalte zu kontrollieren, die über Facebook-Werbung verbreitet werden.

Warum ist das etwas Besonderes? Erste Beschreibung der Verwendung von DNS CNAME-Einträgen durch Bedrohungsakteure zur Kontrolle und Steuerung von Inhalten für Benutzer.

Ein bösartiger Dienst zur Verkürzung von Links, mit dem Kriminelle Verbraucher auf der ganzen Welt ins Visier nehmen. Dieser Akteur hat die Datenschutzkontrollen für das usTLD erfolgreich umgangen, bevor er von Infoblox entlarvt wurde.

Warum ist das etwas Besonderes? Erste Beschreibung eines bösartigen Link-Shorteners in der Branche.

Ein Phishing-Akteur, der Anmeldeinformationen von Verbrauchern in Europa, den Vereinigten Staaten und Australien stiehlt, indem er ähnliche Domains wie Finanzinstitute und Steuerbehörden verwendet. Früher als Open Tangle bekannt.

Warum ist das etwas Besonderes? Das ist die erste Meldung über einen dedizierten Lookalike-Domain-Akteur.

Ein nationalstaatliches DNS C2-Malware-Toolkit. Es wurde bestätigt, dass es sich um eine fortgeschrittene Variante von Pupy RAT handelt. Russische Sicherheitsanbieter behaupteten später, dass Decoy Dog verwendet wurde, um die kritische russische Infrastruktur zu stören.

Warum ist das etwas Besonderes? Erste Entdeckung und Charakterisierung einer C2-Malware ausschließlich über DNS.

Das am längsten laufende Traffic Distribution System (TDS) in der Branche mit der größten Anzahl von kriminellen Partnern, die Traffic für andere vermitteln und gleichzeitig eigene bösartige Kampagnen durchführen.

Warum ist das etwas Besonderes? Erste Identifizierung eines groß angelegten TDS durch DNS und die Verwendung eines Dictionary-Domain-Generation-Algorithmus (DDGA).