Pembajakan domain menggunakan serangan ‘Sitting Ducks’ masih menjadi topik yang kurang dibahas dalam komunitas keamanan siber. Hanya sedikit peneliti ancaman yang mengenal vektor serangan ini, dan pengetahuan tentangnya masih terbatas. Namun, prevalensi serangan ini dan risikonya terhadap organisasi jauh lebih besar daripada yang dilaporkan sebelumnya.
Setelah publikasi pertama kami tentang serangan Sitting Ducks, Infoblox Threat Intel menggali lebih dalam topik ini. Hasilnya adalah laporan baru yang membuka mata yang memperkirakan lebih dari 1 juta domain terdaftar dapat rentan terhadap serangan ini. Laporan ini juga mengeksplorasi penggunaan serangan ini yang meluas dan bagaimana banyak aktor memanfaatkannya untuk memperkuat kampanye jahat mereka.
Bukti Baru tentang Serangan Sitting Ducks
Pada serangan Sitting Ducks, aktor jahat mendapatkan kontrol penuh atas domain dengan mengubah pengaturan DNS-nya. Para penjahat siber telah menggunakan vektor ini sejak 2018 untuk membajak puluhan ribu nama domain. Domain yang menjadi korban termasuk merek terkenal, organisasi non-profit, dan entitas pemerintah. Infoblox Threat Intel membuat inisiatif pemantauan setelah publikasi awal tentang serangan Sitting Ducks pada Juli 2024. Hasilnya sangat mengejutkan, karena ditemukan 800.000 domain yang rentan, dan sekitar 70.000 di antaranya telah dibajak.
Mudah Dilakukan oleh Aktor, Sulit Dideteksi oleh Tim Keamanan
Serangan Sitting Ducks sangat mudah dilakukan. Serangan ini memanfaatkan kesalahan konfigurasi pada pengaturan DNS untuk sebuah domain, khususnya ketika server domain menunjuk ke server nama otoritatif yang salah. Kerentanannya, yang dikenal dengan ‘lame delegation’, tidak diakui sebagai CVE resmi atau oleh otoritas keamanan besar seperti CISA. Kurangnya perhatian terhadap masalah ini memungkinkan aktor untuk terus beroperasi tanpa terdeteksi.
Kerugian tidak berhenti di situ. Setelah domain korban dikompromikan, aktor dapat menyiapkan infrastruktur serangan yang dapat menghindari deteksi yang ada. Reputasi positif dari domain yang dibajak memungkinkan mereka terlihat aman atau tidak berbahaya oleh kontrol keamanan, sehingga memungkinkan pengguna terhubung ke situs yang sudah dikompromikan dan dibersenjatai. Rendahnya hambatan teknis untuk melakukan serangan Sitting Ducks dan tambahan langkah intrusi yang tersembunyi dapat menarik lebih banyak kelompok penjahat siber, yang mengakibatkan lebih banyak kejadian serangan.
Menambang dan Mendaur Ulang Domain yang Bisa Dieksploitasi
Salah satu kejadian yang sering dilihat oleh peneliti ancaman Infoblox adalah pembajakan bergilir. Ini berarti sebuah domain dibajak oleh berbagai aktor seiring waktu. Para aktor ancaman sering mencari penyedia layanan yang dapat dieksploitasi, seperti penyedia DNS gratis, dan biasanya ‘meminjam’ (membajak) domain selama 30 hingga 60 hari. Peneliti juga melihat kasus di mana aktor mempertahankan domain untuk periode waktu yang lebih lama. Setelah akun gratis tersebut kedaluwarsa, domain akan ‘hilang’ oleh aktor pertama dan bisa diparkir atau diklaim oleh aktor lain.
Vipers dan Hawks Menyerang Serangan Sitting Ducks
Vacant Viper adalah salah satu aktor ancaman pertama yang memanfaatkan ‘Sitting Ducks’ dan telah membajak sekitar 2.500 domain setiap tahun sejak Desember 2019. Aktor ini menggunakan domain yang dibajak untuk memperkuat sistem distribusi lalu lintas jahat mereka (TDS) yang disebut 404TDS dengan tujuan menjalankan operasi spam jahat, mengirimkan pornografi, mendirikan server kontrol Trojan Akses Jarak Jauh (RAT), dan menurunkan malware seperti DarkGate dan AsyncRAT. Vacant Viper tidak membajak domain untuk hubungan dengan merek tertentu, tetapi untuk sejumlah sumber daya domain yang memiliki reputasi tinggi dan tidak akan diblokir oleh vendor keamanan.
Vextrio Viper
Aktor ini telah menggunakan domain yang dibajak sebagai bagian dari infrastruktur TDS mereka yang besar sejak awal 2020. Vextrio menjalankan program afiliasi penjahat siber terbesar yang diketahui, mengarahkan lalu lintas web yang dikompromikan ke lebih dari 65 mitra afiliasi, beberapa di antaranya juga mencuri domain melalui ‘Sitting Ducks’ untuk kegiatan jahat mereka sendiri.
Aktor Baru: Horrid Hawk dan Hasty Hawk
Infoblox telah menamai beberapa aktor baru yang berkembang dengan domain yang dibajak. Horrid Hawk adalah aktor ancaman DNS yang telah membajak domain dan menggunakannya untuk penipuan investasi sejak setidaknya Februari 2023. Mereka membuat iklan Facebook jangka pendek yang menargetkan pengguna di lebih dari 30 bahasa, menyebarkan penipuan yang berkaitan dengan program investasi pemerintah yang tidak ada. Hasty Hawk, yang ditemukan sejak setidaknya Maret 2022, telah membajak lebih dari 200 domain untuk menjalankan kampanye phishing yang luas, memalsukan halaman pengiriman DHL dan situs donasi palsu untuk mendukung Ukraina.
Kerusakan bagi Individu dan Bisnis
Serangan Sitting Ducks banyak merugikan korban. Berikut adalah kelompok yang dapat terpengaruh oleh serangan ini:
- Organisasi atau Bisnis: Kelompok pertama yang menjadi korban adalah organisasi atau bisnis yang memiliki domain rentan. Pembajakan mempengaruhi merek dan reputasi mereka begitu situs yang dikompromikan menjadi berita.
- Individu: Kelompok kedua adalah individu yang mengunjungi konten atau infrastruktur jahat di balik domain yang dipercaya. Satu tindakan yang tidak hati-hati dapat menyebabkan unduhan malware, pencurian kredensial, atau penipuan.
- Tim Keamanan: Kelompok terakhir yang menjadi korban adalah ribuan tim keamanan yang melindungi organisasi mereka dari ancaman terbaru. Penjahat siber seperti Hawks atau Vipers menggunakan ribuan domain yang terpercaya dalam sistem TDS dan infrastruktur serangan mereka, yang mengurangi efektivitas operasi keamanan mereka secara drastis.
Cara Melindungi Diri dari Hawks
Meskipun serangan Sitting Ducks relatif mudah dilakukan dan sulit dideteksi, serangan ini sepenuhnya dapat dicegah dengan konfigurasi yang benar pada registrar domain dan penyedia DNS. Kesalahan konfigurasi DNS sering kali merupakan kelalaian yang dapat diperbaiki oleh berbagai pihak: pemegang domain, registrar, dan penyedia DNS dapat membuat pembajakan jenis ini lebih sulit dilakukan atau lebih mudah diatasi.
Baca Lebih Lanjut di Laporan Riset Kami
Para ahli Infoblox Threat Intel telah membuat laporan mendalam yang ditujukan untuk peneliti ancaman dan profesional keamanan tingkat lanjut. Laporan ini menjelaskan cara kerja serangan Sitting Ducks dan bagaimana mengidentifikasi domain yang telah dikompromikan. Kami juga mengeksplorasi bagaimana Vipers dan Hawks melaksanakan serangan Sitting Ducks untuk membuat infrastruktur yang tahan terhadap deteksi oleh vendor keamanan.