資安威脅趨勢 - 知名組織棄置的網域與子網域淪為掩護惡意郵件攻擊的新興工具

                                                                                    

知名組織棄置的網域與子網域淪為掩護惡意郵件攻擊的新興工具

一、摘要

         駭客註冊特定名稱的網域並用於攻擊行動中是過去很常見的攻擊手段，其中一種常見手段是註冊與目標組織名稱相似的網域，企圖混淆使用者來達到目的，但近期資安研究人員發現駭客改變了攻擊手段，其新型態手法是尋找知名企業棄用許久的網域名稱，並重新註冊內為己有，然後用這些網域大量發送惡意郵件，導致可以繞過垃圾郵件過濾器或是郵件安全閘道的防護。

二、存在風險

        資安業者Guardio揭露駭客組織ResurrecAds的大規模子網域挾持攻擊行動SubdoMailing，該組織於2022年開始，針對超過8千個知名品牌與機構有關的網域名稱和1.3萬個子網域下手，已被冒用的品牌和組織包含：MSN、VMware、McAfee、經濟學人、康乃爾大學、賽門鐵克、eBay等。

在這個攻擊行動中，值得關注的的是，駭客進行CNAME記錄與SPF有關的挾持攻擊，濫用企業組織棄用的網域名稱、子網域名稱，使得惡意郵件能繞過垃圾郵件的過濾機制。在某些情況下，攻擊者還能藉由SPF及DKIM的電子郵件政策，欺騙郵件安全閘道這些電子郵件是安全的。

        建議改善措施：

1. 對內部員工實施教育訓練(如：勒索病毒、社交工程、惡意郵件)，藉以提供員工資安意識。
2. 鼓勵使用者向IT部門或資安部門說明發現可疑電子郵件和文件並使用工具阻止惡意電子郵件。
3. 儘速導入雲智維服務，進行資安威脅情資偵測與聯防，降低企業資安風險。

        情資報告連結：https://www.ithome.com.tw/news/161517