Infoblox Threat Intel

Le système de distribution du trafic (TDS) le plus ancien connu dans le secteur avec le plus grand nombre d’affiliés criminels, négociant du trafic pour d’autres tout en diffusant leurs propres campagnes malveillantes.

Pourquoi est-ce spécial ? Première identification d'un TDS à grande échelle découvert par le biais du DNS et à l'aide d'un algorithme de génération de domaines par dictionnaire (DDGA).

Un ensemble d'outils malveillants DNS C2 pour les États-nations. Il a été confirmé qu'il s'agissait d'une variante avancée de Pupy RAT, mais les fournisseurs de sécurité russes ont par la suite affirmé que Decoy Dog avait été utilisé pour perturber des infrastructures critiques russes.

Pourquoi est-ce spécial ? Première découverte et caractérisation d'un malware C2 uniquement à partir du DNS.

Un acteur de phishing qui dérobe les identifiants des consommateurs en Europe, aux États-Unis et en Australie en utilisant des domaines similaires à ceux des institutions financières et des agences fiscales gouvernementales. Anciennement connu sous le nom d'Open Tangle.

Pourquoi est-ce spécial ? Il s’agit du premier signalement d’un acteur de domaine similaire dédié.

Un service de raccourcissement de liens malveillant utilisé par des criminels pour cibler les consommateurs du monde entier. Cet acteur a réussi à déjouer les contrôles de confidentialité pour le usTLD avant d'être démasqué par Infoblox.

Pourquoi est-ce spécial ? Première description d'un raccourcisseur de liens malveillant dans le secteur.

Un acteur persistant de fraudes en matière d'investissement qui utilise les enregistrements DNS CNAME comme système de distribution du trafic (TDS) pour contrôler l'accès à ses contenus malveillants diffusés par le biais de publicités sur Facebook.

Pourquoi est-ce spécial ? Première description de l’utilisation des enregistrements DNS CNAME par les acteurs malveillants pour contrôler et diriger le contenu des utilisateurs.

Un acteur rusé abusant des résolveurs ouverts dans le monde entier avec des enregistrements MX et déclenchant l'action mystérieuse du Great Firewall de Chine.

Pourquoi est-ce spécial ? Première documentation des enregistrements DNS MX modifiés par le Great Firewall.

Un acteur de la menace persistant utilisant un algorithme avancé pour créer des centaines de milliers de domaines à utiliser dans la commande et le contrôle de logiciels malveillants.

Pourquoi est-ce spécial ? En suivant Revolver Rabbit sur une longue période, ce travail a démontré les investissements financiers réalisés par certains cybercriminels. Cela a également prouvé que les RDGA peuvent masquer très efficacement les opérations malveillantes.

Un syndicat chinois du crime organisé qui a conçu et exploite une suite technologique qui est une chaîne d'approvisionnement complète en matière de cybercriminalité : elle se compose de logiciels, de configurations de Domain Name System (DNS), d'hébergement de sites web, de mécanismes de paiement, d'applications mobiles, et bien d'autres choses encore.

Pourquoi est-ce spécial ? Cette recherche permet d'établir un lien entre de nombreux témoignages de journalistes et de défenseurs des droits de l'homme et un seul et unique réseau de criminalité organisée.

Depuis février 2023, un acteur malveillant motivé par l’argent détourne des milliers de domaines pour des stratagèmes de fraude à l’investissement. Ces domaines détournés sont intégrés dans des publicités Facebook éphémères ciblant des utilisateurs dans plus de 30 langues sur plusieurs continents.

Pourquoi est-ce spécial ? Les domaines piratés sont repris à l'aide du vecteur d'attaque « Sitting Ducks » et sont utilisés à chaque étape des campagnes des acteurs.