Vault Viper は東南アジアの組織犯罪とつながりのある高度な脅威アクターです。カスタムブラウザを使って、違法なオンラインギャンブル、データの流出、マネーロンダリングを行います。その広大な DNS インフラは、世界的な詐欺行為に悪用されています。

注目ポイント：DNS インフラとカスタムブラウザを併用してサイバー犯罪と脅威の拡散に成功した事例の当社初のレポートです。

Detour Dog は、DNS TXT レコードを使用して、何万もの侵害されたウェブサイトから被害者を条件付きでリダイレクトしたり、リモートコンテンツを取得して実行したりする悪質なアドテク集団です。Detour Dog は、Help TDS、Los Pollos、Monetizer の関連団体であり、Hive0145 と提携して Strela Stealer マルウェアを配信しています。

注目ポイント：Detour Dog は TDS とマルウェア C2 を橋渡しし、DNS を介して脅威を動的にルーティングする中継システムを運用しています。これは珍しく、ステルス性の高い手法です。

Vane Viper は、キプロスに拠点を置くロシア系 AdTech Holdings とその子会社を中心に構築された悪意のある広告テクノロジーのエコシステムです。攻撃者は永続性を確保するためにプッシュ通知を悪用し、TDS を操作してトラフィックを多様な悪意のあるコンテンツに誘導します。

注目ポイント：この調査は、PropellerAds を含む広範な TDS およびアフィリエイトネットワークを構成する個人と組織をマッピングしています。

Hazy Hawk は、DNS に精通した脅威アクターであり、主要な国家機関の未使用のクラウドリソースを指す放置された DNS CNAME レコードをハイジャックします。このアクターはこれらの信頼できるサブドメインの下で詐欺やマルウェアの URL をホストし、TDS やプッシュ通知を悪用して被害者を標的にします。

注目ポイント：これは、放棄されたクラウドリソース内のダングリング CNAME を乗っ取る行為者が報告された初めてのケースです。

Reckless Rabbit は、ソーシャルメディア広告、偽の有名人による推薦、ローカライズされた（言語別）ランディングページを活用して、被害者を投資詐欺に誘い込む巧妙な詐欺オペレーターです。

RDGAs、ワイルドカード DNS、および TDS ベースのクローキングを使用して検出を回避し、急速に拡大し、場所やデバイスに基づいてターゲットをリダイレクトするため、効果的に追跡やブロックすることが困難になります。

Ruthless Rabbit は、2022 年後半から活動している、DNS を利用した投資詐欺のオペレーションで、東ヨーロッパを標的としています。

登録ドメイン生成アルゴリズム（RDGA）を使用して、何千もの詐欺ドメイン、ワイルドカードDNS、およびクローキングサービスを事前登録し、ボットを除外し、検証済みのユーザーを偽の「利益プラットフォーム」に誘導します。

Morphing Meerkat は、フィッシング・アズ・ア・サービス（PhaaS）プラットフォームを運営しています。このアクターは、DNS MX レコードを使用して被害者のメールサービスプロバイダーを特定し、偽のログインページを動的に提供します。Morphing Meerkat は、侵害された WordPress サイトおよびアドテックサーバーのオープンリダイレクトの脆弱性を悪用します。

Hasty Hawk は、権威ある DNS プロバイダーが悪用可能である不適切なネームサーバー委任を利用してドメインをハイジャックし、その後フィッシングキャンペーンに使用します。

注目ポイント：このアクターは「Sitting Ducks」攻撃を通じて脆弱なドメインを乗っ取り、DHL のページや偽の寄付サイトを偽装したフィッシングキャンペーンを運用します。

金銭目的の脅威アクターが、少なくとも2023年2月以降、投資詐欺計画のために何千ものドメインを乗っ取っています。これらの乗っ取られたドメインは、複数の大陸にまたがる30以上の言語のユーザーをターゲットにした短期間のFacebook広告に埋め込まれています。

注目ポイント：ハイジャックされたドメインは、「Sitting Ducks」の攻撃ベクトルを使って乗っ取られ、アクターのキャンペーンのあらゆる段階で利用されます。

この中国の組織犯罪シンジケートは、ソフトウェア、Domain Name System（DNS）構成、Web サイトのホスティング、支払いメカニズム、モバイルアプリなどで構成される完全なテクノロジスイートを設計・運用している、サイバー犯罪サプライチェーンです。

注目ポイント：この研究は、ジャーナリストや人権活動家による多数の記事を単一の組織犯罪ネットワークに結び付けるものです。

MX レコードを悪用し、世界中のオープンリゾルバーを利用して中国の Great Firewall の謎めいた挙動を引き起こす、巧妙なアクター。

注目ポイント：Great Firewall による DNS MX レコードの改変に関する初の文書。

Facebook 広告を通じて悪質なコンテンツを拡散し、そのアクセスを制御するために DNS の CNAME レコードを利用する常習的な投資詐欺アクター。

注目ポイント：脅威アクターがユーザーのコンテンツを制御し誘導するためにDNS CNAME レコードを使用する方法についての最初の解説。

世界中の消費者を標的にするために犯罪者が使用する悪質なリンク短縮サービス。この攻撃者は、米国の TLD のプライバシーコントロールを回避し、Infoblox によって発覚しました。

注目ポイント：悪質な URL 短縮サービスを業界で初めて解明。

金融機関や政府税務当局の類似ドメインを使用して、欧州、米国、オーストラリアの消費者から認証情報を盗むフィッシング攻撃者。以前は Open Tangle として知られていました。

注目ポイント：専用類似ドメインアクターに関する、初めての報告。

国家レベルの DNS C2 マルウェアツールキット。ロシアのセキュリティベンダーが後に主張したように、Decoy Dog は Pupy RAT の進化版であり、ロシアの重要インフラを標的とした攻撃に使用されました。

注目ポイント：DNS のみを用いて C2 マルウェアを発見し、解析した、初めてのケース。

業界で知られる最も長期間稼働しているトラフィック分配システム（TDS）であり、最大数の犯罪アフィリエイトを抱え、他者のトラフィックを仲介しながら独自の悪質なキャンペーンを展開しています。

注目ポイント：DNS と辞書型ドメイン生成アルゴリズム（DDGA）を活用した、初の大規模 TDS の特定。