최근 합법적인 도메인으로 위장해 대량의 스팸 메일을 발송하는 “SubdoMailing” 캠페인이 발견됐다.
공격자는 SPF(Sender Policy Framework), DKIM(DomainKeys Identified Mail) 및 DMARC(Domain-based Message Authentication, Reporting and Conformance)의 이메일 인증을 이용해 스팸 필터를 우회한다. 또한, 더 이상 사용하지 않는 도메인을 가리키는 CNAME과 SPF 레코드를 하이재킹하는 등 합법적인 도메인의 하위 도메인을 탈취해 공격에 이용한다. 이로 인해 공격자는 합법적인 사용자로 위장해 스팸 메일을 정상 메일처럼 발송할 수 있다. 한편, 사용자는 메일 본문에 있는 버튼을 클릭할 경우 일련의 리다이렉션을 거치면서 광고를 조회하게 된다. 이 과정에서 사용자는 제휴사 사기 등에 노출되며, 공격자는 광고 수익을 얻는다.
보안 업체 Guardio는 “SubdoMailing” 캠페인에서 8,000개가 넘는 합법적인 도메인과 약 13,000개의 하위 도메인을 발견했다고 언급했다. 이에 대해 도메인의 악용 여부를 검색할 수 있는 별도의 사이트를 제공하고 있다.
사진 출처 : Guardio
출처
[1] Guardio (2024.02.26) – “SubdoMailing” — Thousands of Hijacked Major-Brand Subdomains Found Bombarding Users With Millions of Malicious Emails
'최신 보안 동향' 카테고리의 다른 글
| CDN 캐시를 악용해 인포스틸러를 유포하는 악성 캠페인 (0) | 2024.04.29 |
|---|---|
| WordPress MiniOrange 플러그인의 치명적인 취약점 (1) | 2024.03.19 |
| 다시 돌아온 Bumblebee 악성코드 (0) | 2024.02.14 |
| 우크라이나 업체를 공격하는 Solntsepek 해커 그룹 (0) | 2024.01.19 |
| CISA와 FBI의 AndroxGh0st 악성코드 주의 권고 (20) | 2024.01.19 |